SAP Internet Graphics Service bis 7.00 korrupte HTTP-Anfrage Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.5 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in SAP Internet Graphics Service bis 7.00 gefunden. Sie wurde als kritisch eingestuft. Hiervon betroffen ist ein unbekannter Codeblock der Komponente HTTP Request Handler. Durch Manipulation mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2006-4133 vorgenommen. Es gibt keinen verfügbaren Exploit. Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
SAP wurde 1972 von fünf ehemaligen Mitarbeitern der IBM gegründet. Mit NetWeaver soll der zunehmenden Komplexität der SAP-Produkte Rechnung getragen werden. Gegenwärtig bietet die SAP mit dem Produkt SAP NetWeaver, eine Plattform an, mit deren Hilfe unterschiedliche Business-Anwendungen integriert werden können. Wo es vor einigen Jahren nur eine quasi monolithische ERP-Software mit unterschiedlichen Modulen gegeben hat (SAP R/3), gibt es heute eine breite Palette an unterschiedlichen Produkten. Cybsec hat zwei Schwachstellen im SAP Internet Graphics Service bis 7.00 gemeldet. Durch eine korrupte HTTP-Anfrage kann dieses Modul zum Absturz gebracht werden. Weitere Details oder ein Exploit sind nicht bekannt. In der SAP Note 968423 sind Lösungsansätze dokumentiert. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (28334), SecurityFocus (BID 19470†), OSVDB (27915†), Secunia (SA21448†) und SecurityTracker (ID 1017534†) dokumentiert. Die Schwachstellen VDB-2454 und VDB-31794 sind ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Da nahezu keine Details zur Schwachstelle bekannt sind, ist die Einschätzung sehr schwierig und zum jetzigen Zeitpunkt nicht möglich. Sollten Ihre Systeme verwundbar sein, sollten Sie schnellstmöglich die Gegenmassnahmen anstreben. Gerade wegen der hohen Verbreitung von SAP-Lösungen in grösseren Unternehmen gestaltet sich diese Angriffsform für eine Vielzahl an Angreifern sehr interessant.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.sap.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.5VulDB Meta Temp Score: 6.5
VulDB Base Score: 7.5
VulDB Temp Score: 6.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-122 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: sap.com
Timeline
02.06.2006 🔍10.08.2006 🔍
11.08.2006 🔍
11.08.2006 🔍
11.08.2006 🔍
14.08.2006 🔍
14.08.2006 🔍
14.08.2006 🔍
18.01.2007 🔍
13.01.2025 🔍
Quellen
Hersteller: sap.comAdvisory: cybsec.com
Person: Mariano Nuñez Di Croce
Firma: Cybsec
Status: Bestätigt
CVE: CVE-2006-4133 (🔍)
GCVE (CVE): GCVE-0-2006-4133
GCVE (VulDB): GCVE-100-2453
CERT: 🔍
X-Force: 28334 - SAP Internet Graphics Service HTTP request buffer overflow, High Risk
SecurityFocus: 19470 - SAP Internet Graphics Server Remote Buffer Overflow Vulnerability
Secunia: 21448 - SAP Internet Graphics Service Two Vulnerabilities, Highly Critical
OSVDB: 27915 - SAP Internet Graphics Service Unspecified HTTP Request Remote Overflow
SecurityTracker: 1017534
Vupen: ADV-2006-3267
scip Labs: https://www.scip.ch/?labs.20150716
Siehe auch: 🔍
Eintrag
Erstellt: 14.08.2006 12:42Aktualisierung: 13.01.2025 06:17
Anpassungen: 14.08.2006 12:42 (80), 30.03.2019 19:18 (1), 13.01.2025 06:17 (17)
Komplett: 🔍
Cache ID: 216:C43:103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.