Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1132010-17)
Описание
Использование MaxDB или liveCache разрешает удаленный доступ к серверу БД для администрирования баз данных или обеспечения взаимосвязи приложений БД.
LINUX/UNIX: x_server разрешается прослушивать входящие запросы через порт по умолчанию sql6 7210/tcp.
Windows: Запускается служба x_server, которая прослушивает входящие запросы через порт по умолчанию sql6 7210/tcp.
LINUX/UNIX: x_server разрешается прослушивать входящие запросы через порт по умолчанию sql6 7210/tcp.
Windows: Запускается служба x_server, которая прослушивает входящие запросы через порт по умолчанию sql6 7210/tcp.
Как исправить
В настоящее время MaxDB development пытается устранить данную уязвимость. Данная уязвимость существует в MaxDB версии 7.3 и выше. В ближайшее время будет доступно обновление для следующих версий:
В SAP Software Distribution Center доступны для скачивания:
7.3.00.62 APR/23/2008 только Win32
7.5.00.48 28.01.2008
7.6.03.15 25.01.2008
7.6.04.08 19.03.2008
7.6.05.03 отсутствует пользовательская версия
7.7.02.20 05.02.2008
7.7.03.23 MAY/26/2008 SAP SCM 2007 -> LC/LCAPPS 5.1
7.7.04.09 отсутствует пользовательская версия
Обновите вашу версию, если обновление доступно, руководствуясь перечнем. Выполняйте действия в соответствии с Note 498036.
Для пользователей liveCache, которые не могут провести обновления до последней сборки используемой ими версии, в текущей сборке доступна программная вставка (для сервера СУБД/DBM server). Для проверки доступности программной вставки для вашей версии руководствуйтесь Note 1133005.
Необходимо отметить, что изменились требования к присвоению имен пользователям и паролей в связи с устранением данной уязвимости. См. Note 1147474.
Чтобы исключить возможность нежелательного удаленного доступа к серверам БД MaxDB или liveCache, проверьте настройки сетевого экрана и выставьте их на самый безопасный уровень, если программная вставка недоступна.
В SAP Software Distribution Center доступны для скачивания:
7.3.00.62 APR/23/2008 только Win32
7.5.00.48 28.01.2008
7.6.03.15 25.01.2008
7.6.04.08 19.03.2008
7.6.05.03 отсутствует пользовательская версия
7.7.02.20 05.02.2008
7.7.03.23 MAY/26/2008 SAP SCM 2007 -> LC/LCAPPS 5.1
7.7.04.09 отсутствует пользовательская версия
Обновите вашу версию, если обновление доступно, руководствуясь перечнем. Выполняйте действия в соответствии с Note 498036.
Для пользователей liveCache, которые не могут провести обновления до последней сборки используемой ими версии, в текущей сборке доступна программная вставка (для сервера СУБД/DBM server). Для проверки доступности программной вставки для вашей версии руководствуйтесь Note 1133005.
Необходимо отметить, что изменились требования к присвоению имен пользователям и паролей в связи с устранением данной уязвимости. См. Note 1147474.
Чтобы исключить возможность нежелательного удаленного доступа к серверам БД MaxDB или liveCache, проверьте настройки сетевого экрана и выставьте их на самый безопасный уровень, если программная вставка недоступна.
Ссылки