Luki w IGS zagrażają systemom SAP

14 sierpnia 2006 0 przez Michał Tomaszkiewicz

Usługa Internet Graphics Service (IGS), która jest standardowo instalowana i aktywowana w serwerze aplikacji sieciowych systemów SAP może zostać wykorzystana do włamania do systemu.

IGS nieprawidłowo przetwarza źle sformatowane pakiety pobierane z sieci. Można to wykorzystać do podsunięcia programowi odpowiednio spreparowanego pakietu, który doprowadzi do awarii systemu. Wykorzystanie luki w przypadku, gdy usługa uruchomiona jest pod kontrolą systemu Windows prowadzi do przejęcia kontroli nad całym komputerem.

Pod systemami uniksowymi możliwe jest zdobycie pełnej kontroli nad SAP-em. Firma Cybsec, która odkryła lukę, zapowiedziała, że szczegóły na jej temat ujawni za trzy miesiące.

Wspomniana dziura występuje w wersjach IGS 6.4 i poprawkach poniżej poziomu 16. oraz wersji 7.00 z poprawkami do poziomu 3. SAP opublikował już odpowiednie poprawki, chroniące przed atakiem.