SAP Internet Transaction Server verrät Informationen
Mehrere Fehler im Transaction Server ermöglichen das Ausspähen von Daten
Martin Eizner von websec.org beschreibt in einem Security Advisory mehrere Fehler in SAPs Internet Transaction Server, mit denen sich der Server und die darauf gespeicherten Daten ausspähen lassen und Cross-Site-Scripting-Attacken möglich sind. Der Ursprung der Fehler liegt in der wgate.dll, die zur CGI-Kommunikation benötigt wird. Betroffen ist Version 4620.2.0.323011, Build 46B.323011 unter Windows 2000 mit IIS 5.0. SAP hat bereits Patches für seine Kunden zur Verfügung gestellt.
Durch die unzureichende Abfrage von übergebenen Parametern des Benutzers ist es möglich, die Verzeichnisstruktur des Servers zu ermitteln. Darüber hinaus kann man sich durch die Manipulation der gesendeten URL und der darin enthaltenen Parameter auch beliebige Dateien und deren Inhalt mittels Web-Browser anzeigen lassen -- unter anderem auch die Datei global.srvc. Diese Datei enthält Usernamen und DES-verschlüsselte Passwörter.
Der Internet Transaction Server setzt zum Identifizieren von Verbindungen Cookies ein. Durch eine weitere Schwäche in wgate.dll können diese Cookies von Angreifern mittels Cross-Site-Scripting von Anwender-PCs gestohlen werden. Der Angreifer kann damit anschließend ohne Authentifizierung gültige Verbindungen zum Server etablieren.
Siehe dazu auch: (dab)
- Security Advisory von Martin Eizner
- Cross-Site-Scripting: Datenklau ĂĽber Bande auf heise Security
