PT-2016-18: Обход каталога в SAP NetWeaver

Уязвимое ПО

SAP NetWeaver
Версия: 7.x

Ссылка:
http://sap.com/

Рейтинг опасности

Уровень опасности: Средний
Воздействие: Загрузка произвольных файлов
Вектор атаки: Удаленный

CVSS v3:
Base Score: 5.9
Vector: (AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:H)

CVE: отсутствует

Описание программы

SAP NetWeaver - сервисно-ориентированная интеграционная платформа, которая стала технической основой для всех приложений SAP Business Suite.

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Обход каталога" в SAP NetWeaver.

Уязвимость обнаружена в компоненте Log Viewer. Злоумышленник может загрузить некорректно сформированный архив, содержащий файлы со специальными символами в названии. При распаковке архива веб-приложение распознает символы «.» and «/» как часть корректного пути файла, что позволяет злоумышленникам эксплуатировать уязвимость обхода каталога и загружать файлы в произвольную локацию файловой системы сервера.
Загруженные файлы представляют собой существенный риск для безопасности приложений. Последствия загрузки произвольных файлов могут быть разными, включая полную компрометацию системы, чрезмерную нагрузку на файловую систему или базу данных, распространение атаки на серверные системы, а также подмену данных (defacement). Степень воздействия данной уязвимости высока, так как произвольный код может быть выполнен в контексте сервера.

Решение

Используйте рекомендации производителя:
SAP Security Note 2370876

Статус уведомления

15.09.2016 - Производителю отправлены детали уязвимостей
10.01.2017 - Производитель выпустил исправление
13.04.2017 - Публикация уязвимости

Благодарности

Уязвимость обнаружил Михаил Ключников (Исследовательский центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2016-18

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/
http://www.securitylab.ru/lab/

О Positive Technologies

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. 
Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.

Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.

Уязвимости