漏洞起因
访问验证错误
危险等级
低
影响系统
SAP NetWeaver 7.0
不受影响系统
危害
远程攻击者可以利用漏洞对系统进行拒绝服务攻击。
攻击所需条件
攻击者必须访问SAP NetWeaver。
漏洞信息
SAP NetWeaver是一款SAP业务套件解决方案、SAP xApps组合应用、合作伙伴解决方案以及客户定制应用的技术基础。
SAP Netweaver元模型库(Metamodel Repository)在旧的SAP ECC版本中默认无需验证即可访问,攻击者可以访问测试性能的页面:
http://sapserver:8000/mmr/MMR?page=MMRPerformance
如果使用最大数据大小进行性能测试,服务器就会消耗100%CPU。攻击者写一个调用此脚本100此的脚本,那么服务器就会长时间没有任何反应。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://service.sap.com/sap/support/notes/1484097
漏洞提供者
Alexandr Polyakov from Digital Security Research Group [DSecRG]
0 条评论。