Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en los algoritmos de compresión LZC/LZH en SAP

Múltiples vulnerabilidades en los algoritmos de compresión LZC/LZH en SAP

Fecha de publicación: 
14/05/2015
Importancia: 
5 - Crítica
Recursos afectados: 

Los paquetes afectados son:

  • SAP Netweaver Application Server ABAP.
  • SAP Netweaver Application Server Java.
  • SAP Netweaver RFC SDK.
  • SAP RFC SDK.
  • SAP GUI.
  • SAP MaxDB database.
  • SAPCAR archive tool.
Descripción: 

Los productos de SAP que hacen uso de una implementación propia de los algoritmos de compresión LZC yLZH contienen vulnerabilidades que pueden ser usadas para provocar la ejecución de código arbitrario y una denegación de servicio.

Solución: 

Los usuarios registrados pueden acceder a información detallada sobre el parche en el portal de soporte de SAP.

Detalle: 

Los fallos identificados son los siguientes:

  • Desbordamiento de búfer basado en pila al descomprimir con el algoritmo LZC. Se ha reservado el identificador CVE-2015-2282.
  • Vulnerabilidad de lectura fuera de límites al descomprimir con el algoritmo de LZH. Se ha reservado el identificador CVE-2015-2278.

Ambos fallos pueden ser utilizados para realizar ataques contra componentes tanto en el lado servidor como en el lado cliente, así como ataques man-in-the-middle.