Vigil@nce : SAP NetWeaver, déni de service via XRFC
novembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut envoyer une requête XML RFC
illicite, afin de mener un déni de service dans SAP NetWeaver.
– Gravité : 2/4
– Date création : 18/11/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Le service SAP XRFC (XML Remote Function Call) gère des requêtes
SOAP au format XML.
Lorsque la requête SOAP contient de nombreux éléments, la pile
d’appel (stack) des fonctions se remplit, et le processus work.exe
se stoppe.
Un attaquant authentifié (ou les utilisateurs EARLYWATCH, SAPCPIC,
TMSADM) peut donc envoyer une requête RFC SOAP illicite, afin de
mener un déni de service dans SAP NetWeaver.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/SAP-NetWeaver-deni-de-service-via-XRFC-10134