Se
han publicado dos vulnerabilidades que
afectan a SAP NetWeaver 7 y que podrían permitir a un atacante remoto
ejecutar código arbitrario.
NetWeaver es una plataforma
compuesta por todas las aplicaciones SAP con objeto de lograr una mejor
integración entre dichas aplicaciones, utilizar estándares para asegurar la
interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP
NetWeaver es ampliamente utilizado en el mundo empresarial.
Martin Gallo y Francisco Falcon,
de Core Security, han descubierto dos vulnerabilidades en SAP NetWeaver 7,
concretamente en 'Message Server' (msg_server.exe).
Ambas vulnerabilidades podrían provocar una corrupción de la memoria y ser aprovechadas de forma remota para ejecutar
código arbitrario en el sistema afectado. Están causadas por:
- Un error al validar el índice
de un array en la función '_MsJ2EE_AddStatistics'
(CVE-2013-1592)
- Un error en la función 'WRITE_C' al procesar paquetes con opcode 0x15 (CVE-2013-1593)
SAP ha publicado la nota de seguridad 1800603 en relación a estos problemas
además de los parches necesarios para corregir ambas vulnerabilidades.
Más información:
SAP security note 1800603
SAP Netweaver Message Server Multiple
Vulnerabilities
Juan José Ruiz