ΑρχικήsecurityΗ SAP επιδιορθώνει ελάττωμα στην ASE database

Η SAP επιδιορθώνει ελάττωμα στην ASE database

Η SAP επιδιορθώνει ελάττωμα στην ASE database

Η SΑΡ επιδιόρθωσε την Πέμπτη ένα ελάττωμα το οποίο θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να πάρει τον ολοκληρωτικό έλεγχο μιας βάσης δεδομένων, σύμφωνα με τον προμηθευτή  ασφάλειας της Trustwave .

SAP-02

 

Το ελάττωμα (CVE-2014-6284) έχει επιπτώσεις στην Adaptive Server Enterprise (ASE) της SΑΡ, μια relational database για τα συστήματα Unix, Linux και Windows, που σχεδιάζονται για μεγάλες ποσότητες data-rich transactions. Οι ευπαθείς εκδόσεις είναι οι 12.5, 15, 15.5, 15.7 και 16.

Ο Martin Rakhmanov, ένας senior security researcher της TrustWave, βρήκε ένα λάθος στον response mechanism που χρησιμοποιείται για να υπάρξει πρόσβαση στην ASE. Το account με το οποίο πραγματοποιήθηκε η πρόσβαση δεν είναι ένα privileged account, αλλά σύμφωνα με τις δηλώσεις της TrustWave άλλα ελαττώματα επιτρέπουν στους privileged λογαριασμούς να μετατραπούν σε λογαριασμοί database administrator.

«Συνδυάζοντας ευπάθειες σαν αυτές που «αναβαθμίζουν» τα δικαιώματα των λογαριασμών, ένας επιτιθέμενος μπορεί να αναλάβει εύκολα τον πλήρη έλεγχο ενός κεντρικού  database server» επισημαίνει η TrustWave στο advisory της.

Η Trustwave δημοσίευσε  έναν proof-of-concept code  στο GitHub.

Η SΑΡ έχει δημοσιοποιήσει  επίσης ένα security note, αλλά για την πρόσβαση σε αυτό απαιτούνται login details.

 

 

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS