Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades de ejecución de código en SAP SQL Anywhere

Múltiples vulnerabilidades de ejecución de código en SAP SQL Anywhere

Fecha de publicación: 
10/12/2014
Importancia: 
4 - Alta
Recursos afectados: 

SAP SQL Anywhere.

Descripción: 

Zero Day Initiative ha publicado cuatro vulnerabilidades de ejecución de código que afectan a SAP SQL Anywhere.

Solución: 

Usuarios registrados pueden acceder a información detallada sobre el parche en el portal de soporte de SAP.

Detalle: 

Las cuatro vulnerabilidades publicadas por Zero Day Initiative podrían permitir ejecución de código en el contexto de la aplicación que haga uso del producto afectado. Las vulnerabilidades, presentes aún en el caso de que los datos de entrada se filtren ante posibles ataques de SQL Injection, son las siguientes:

  • Desbordamiento de pila debido a una gestión incorrecta de los alias de columna en el .NET Data Provider.
  • Desbordamiento de memoria en la Función SPACE en el .NET Data Provider debido a un error de truncamiento aritmético.
  • Desbordamiento de memoria en la Función REPLICATE en el .NET Data Provider debido a un error de truncamiento aritmético.
  • Desbordamiento de pila debido a una gestión incorrecta de una constante entera malformada en el .NET Data Provider.

Se ha reservado el identificador CVE-2014-9264 para estas vulnerabilidades.

Etiquetas: