发布日期：2003-11-17
更新日期：2003-11-24

受影响系统：

SAP DB 7.4.3.7 Beta
SAP DB 7.4.3
SAP DB 7.4
SAP DB 7.3.29

不受影响系统：

SAP DB 7.4.03.30

描述：

---

BUGTRAQ  ID: 9050
CVE(CAN) ID: CVE-2003-0938,CVE-2003-0939,CVE-2003-0944

SAP是一款开放源代码的数据库服务程序。数据库服务程序快速，高效，易于管理。

SAP的核心SAPDB存在多个漏洞，攻击者可以利用这些漏洞提升权限或者远程破坏SAPDB服务器，获取未授权访问。

具体漏洞如下：

1、权限提升：

在SAP DB核心代码中存在编程错误，位于'/V74_03_27/SAPDB_ORG/sys/src/os/vos24u.c'中的如下代码：

    line 62: #define NET_API_DLL       "NETAPI32.DLL"

    然后下面一行可被利用

    line 143:   hinst = LoadLibrary( NET_API_DLL );
    
如果攻击者可以对SAP DB的当前工作目录进行写访问(在WindowsNT中默认SAP没有限制文件权限)，可以替代一个伪造的'NETAPI32.DLL'，SAPDB会先搜索当前工作目录，然后装载伪造的'NETAPI32.DLL'而回哦的系统权限。

2、在'niserver'接口中存在远程未授权缓冲区溢出

默认SAP DB安装情况下，'niserver' (on Unix)或'serv.exe' (on Windows)以ROOT或者SYSTEM权限运行，此接口可以用于SAP支持小组连接客户SAP安装。其中的代码存在缓冲区溢出，问题存在于/V74_03_27/SAPDB_ORG/sys/src/eo/veo420.c中的eo420_GetStringFromVarPart函数中：

[Code segment from: eo/veo420.c]

ulLength = pConnectPacket->ConnectLength  -
            ( sizeof (*pConnectPacket) -
              sizeof (pConnectPacket->VarPart) );

ulLength = MIN_EO420 ( ulLength, sizeof (pConnectPacket->VarPart)
                       );

// @stake comment:
// Items in variable-sized segment are stored:
// [1-byte length] [1-byte type] [ data ... ]
//

for ( ulPos =  0;
       ulPos <  ulLength;
       ulPos += pConnectPacket->VarPart[ulPos] & 0xff )
   {
   ...
   if ( pConnectPacket->VarPart[ulPos + 1] == StringID )
     {
     ...
     break;
     }
   }

可变大小段长度(variable-sized segment)限制在256字节，而目标字符串缓冲区是256字节的字符数组。但是如果字符串的长度达到可变大小段最大长度，并且没有NULL终结，strcpy函数把接收到的包拷贝到内存时会发生单字节溢出，精心构建提交数据可能以ROOT或SYSTEM权限在系统上执行任意指令。

<*来源：Ollie Whitehouse （ollie@atstake.com）
        Dino Dai Zovi （ddaizovi@atstake.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=106908714527967&w=2
*>

建议：

---

厂商补丁：

SAP
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载使用SAP 7.4.03.30版本：

http://www.sapdb.org/

浏览次数：2722
严重程度：0（网友投票）