VulDB: SAP NetWeaver msg_server.exe Pufferüberlauf
Allgemein
scipID: 5630
Betroffen: SAP NetWeaver
Veröffentlicht: 28.06.2012 (e6af8de8b1d4b2b6d5ba2610cbf9cd38)
Risiko: 
kritisch
Eintrag: 85.2% komplett
Erstellt: 04.07.2012
Beschreibung
Eine Schwachstelle wurde in SAP NetWeaver gefunden. Sie wurde als kritisch eingestuft. Davon betroffen ist eine unbekannte Funktion der Komponente msg_server.exe. Mit der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Damit lässt sich Programmcode ausführen. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 28.06.2012 durch e6af8de8b1d4b2b6d5ba2610cbf9cd38 von Zero Day Initiative als ZDI-12-104 in Form eines Advisorys (ZDI) veröffentlicht. Auf zerodayinitiative.com kann das Advisory eingesehen werden. Die Herausgabe geschah hierbei in Zusammenarbeit mit dem Hersteller. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein privater Exploit zur Schwachstelle bekannt.
Dabei muss 244 Tage als nicht veröffentlichten Zero-Day Schwachstelle ausgegangen werden.
Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (83494) und Secunia (SA49744) dokumentiert.CVSS
Base Score: 9.3 (CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Gegenmassnahmen
Empfehlung: Patch
0-Day Time: 244 Tage seit gefunden
Timeline
28.10.2011 | Hersteller informiert
28.06.2012 | Advisory veröffentlicht
02.07.2012 | OSVDB Eintrag erstellt
04.07.2012 | VulDB Eintrag erstellt
04.07.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: ZDI-12-104
Person: e6af8de8b1d4b2b6d5ba2610cbf9cd38
Firma: Zero Day Initiative
Koordiniert: Ja
