Wykryta właśnie krytyczna luka w oprogramowaniu SAP-DB i MaxDB pozwala na przejęcie kontroli nad aplikacjami.
MaxDB to oparte na licencji open source rozwiązanie bazodanowe posiadające certyfikat SAP, przeznaczony dla systemów mySAP.
Błąd odnaleziono w systemie zarządzania aplikacją z wykorzystaniem interfejsu www. Odpowiednio przygotowane zapytania mogą doprowadzić do przepełnienia bufora i wykonania kodu z uprawnieniami serwera www. Podczas ataku nie jest wymagane uwierzytelnienie.
Błąd odnaleziono w MaxDB 7.6.00.22 i zakłada się, że jest on obecny także w starszych rewizjach programu. Luka została usunięta w wersji 7.6.00.31. SAP-DB nie doczeka się aktualizacji, gdyż projekt nie jest już rozwijany.
