Risque
- Exécution de code arbitraire ;
- atteinte à la confidentialité des données ;
- atteinte à l'intégrité des données.
Systèmes affectés
- Toutes les versions de SAP DB 7.x.
Résumé
SAP DB est une mise en oeuvre libre d'un serveur de base de données. Celui-ci peut intégrer une solution d'administration à distance via une interface web.
Description
Plusieurs vulnérabilités ont été découvertes dans SAP DB et ses outils d'administration web associés permettant à un individu mal intentionné d'exécuter du code arbitraire sur le serveur, d'accéder à des pages web d'administration sans authentification ou de récupérer des informations présentes sur le serveur.
Solution
Mettre à jour SAP DB avec la version 7.4.03.30 :
http://www.sapdb.org/7.4/sap_db_software.htm
Documentation
- Bulletin SAP DB :
http://www.sapdb.org/7.4/new_relinfo.txt
- Bulletins de sécurité @stake :
- "SAP DB Privilege Escalation/Remote Code Execution" :
http://www.atstake.com/research/advisories/2003/a111703-1.txt
- "Multiple Issues with SAP DB Web-tools" :
http://www.atstake.com/research/advisories/2003/a111703-2.txt
- "SAP DB Privilege Escalation/Remote Code Execution" :
- Référence CVE CAN-2003-0938 :
https://www.cve.org/CVERecord?id=CAN-2003-0938
- Référence CVE CAN-2003-0939 :
https://www.cve.org/CVERecord?id=CAN-2003-0938
- Référence CVE CAN-2003-0940 :
https://www.cve.org/CVERecord?id=CAN-2003-0938
- Référence CVE CAN-2003-0941 :
https://www.cve.org/CVERecord?id=CAN-2003-0938
- Référence CVE CAN-2003-0942 :
https://www.cve.org/CVERecord?id=CAN-2003-0938
- Référence CVE CAN-2003-0943 :
https://www.cve.org/CVERecord?id=CAN-2003-0938
- Référence CVE CAN-2003-0944 :
https://www.cve.org/CVERecord?id=CAN-2003-0938
- Référence CVE CAN-2003-0945 :
https://www.cve.org/CVERecord?id=CAN-2003-0938