发布日期：2003-11-17
更新日期：2003-11-24

受影响系统：

SAP DB 7.4.3.7 Beta
SAP DB 7.4.3
SAP DB 7.4
SAP DB 7.3.29
SAP DB 7.3.00

不受影响系统：

SAP DB 7.4.03.30

描述：

---

BUGTRAQ  ID: 9051
CVE(CAN) ID: CVE-2003-0940,CVE-2003-0941,CVE-2003-0942,CVE-2003-0943,CVE-2003-0944,CVE-2003-0945

SAP是一款开放源代码的数据库服务程序。数据库服务程序快速、高效、易于管理。

SAP的WEB服务包含的web-tools解决方案存在多个漏洞，远程攻击者可以利用这些漏洞进行目录遍历、缓冲区溢出等攻击。

具体漏洞如下：

1、目录遍历：

在web-tools组件中存在目录遍历漏洞，允许攻击者获得系统任意文件内容。默认情况下SAP在Windows NT/2000/XP操作系统上以SYSTEM权限运行。

提交简单的请求给'sqlopenc'(用于检查请求文件是否存在)函数处理，如果问存在就会使用'FileFound'函数返回文件给请求用户，相关代码如下：

    -----[Start: sqlfopenc Function]
    sqlfopenc (path, SP5VF_BINARY, SP5VF_READ, SP5BK_BUFFERED,
                  &fin, &err);
     if (err.sp5fe_result != vf_ok)
           rtc = FileNotFound(req->uri, host, port, as, rep);
     else
     {
          rtc = FileFound(path, as, req, rep, fin);
          sqlfclosec (fin, SP5VF_CLOSE_NORMAL, &err);
     }
     -----[End: sqlfopenc Function]

但由于对用户提交的包含'/../'的请求缺少充分过滤，可绕过WEB ROOT限制，以WEB权限查看任意文件内容。

2、Web Agent管理默认打开

默认情况下可以访问SAP DB web-tools的用户可以通过简单请求'http://127.0.0.1:85/waadmin.wa'未授权访问WEB代理管理页面。在WAA中攻击者可以配置很多选项，如全局设置，服务，和COM服务。

3、Web Agent管理服务存在缓冲区溢出

Web Agent管理服务页面包含一个缓冲区溢出问题，提交如下的超长URL：

http://127.0.0.1:85/waadmin.wa?Service=Service&Name=AAAAAA....

可触发缓冲区溢出，精心构建提交数据可能以SYSTEM权限在系统上执行任意指令。

4、Web Agent / WAECHO默认服务缓冲区溢出

SAP DB web-tools默认安装包含多个服务，这些服务存在问题可导致多个漏洞

  -waecho
  
   SAP DB WWW (SAP Native, IIS 或NES)中包含waecho偶人服务，可以通过提交类似请求            
   访问：
  
   http://127.0.0.1:85/waecho

   提交包含超长字符串的URL：
  
   http://127.0.0.1:85/waecho/AAAAAAA....
  
   可触发缓冲区溢出，精心构建提交数据可能以SYSTEM权限在系统上执行任意指令。
  
   - websql / webdbm

另外两个服务是'websql'和'webdbm'，允许远程用户连接并执行查询或管理数据库(知道数据库名和用户名，密码的情况下)。这个问题可导致企业外的用户可以通过WEB应用程序访问数据库：
    
    Web SQL Interface: http://127.0.0.1:85/websql
    Web Database Manager: http://127.0.0.1:85/webdbm
    
5，Web数据库管理器会话ID生成存在问题

Web数据库管理器执行多个功能，跟踪这些会话ID生成，发现这些会话ID没有保存在COOKIE中，而是保存在URL中。这行为可导致会话ID不安全：

    http://127.0.0.1:85/webdbm/014000000000
    http://127.0.0.1:85/webdbm/015000000000
    http://127.0.0.1:85/webdbm/016000000000
    http://127.0.0.1:85/webdbm/017000000000
    http://127.0.0.1:85/webdbm/018000000000
    http://127.0.0.1:85/webdbm/019000000000
    http://127.0.0.1:85/webdbm/020000000000

<*来源：Ollie Whitehouse （ollie@atstake.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=106908968032035&w=2
*>

建议：

---

厂商补丁：

SAP
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载使用SAP 7.4.03.30版本：

http://www.sapdb.org/

浏览次数：2938
严重程度：0（网友投票）