S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 20 novembre 2003
N° CERTA-2003-AVI-197
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans SAP DB

Gestion du document

Référence CERTA-2003-AVI-197
Titre Multiples vulnérabilités dans SAP DB
Date de la première version20 novembre 2003
Date de la dernière version20 novembre 2003
Source(s) Bulletins de sécurité @stake
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Exécution de code arbitraire

Systèmes affectés

  • Toutes les versions de SAP DB 7.x.

Résumé

SAP DB est une mise en oeuvre libre d'un serveur de base de données. Celui-ci peut intégrer une solution d'administration à distance via une interface web.

Description

Plusieurs vulnérabilités ont été découvertes dans SAP DB et ses outils d'administration web associés permettant à un individu mal intentionné d'exécuter du code arbitraire sur le serveur, d'accéder à des pages web d'administration sans authentification ou de récupérer des informations présentes sur le serveur.

Solution

Mettre à jour SAP DB avec la version 7.4.03.30 :

http://www.sapdb.org/7.4/sap_db_software.htm

Documentation

Gestion détaillée du document

    le 20 novembre 2003
    version initiale.