SAP RFC库Trusted_System_Security函数信息泄露漏洞

漏洞信息详情

SAP RFC库Trusted_System_Security函数信息泄露漏洞

• CNNVD编号：CNNVD-200704-153
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2007-1913
  
• 漏洞类型：
  
  
  资料不足
  
• 发布时间：
  
  2007-04-10
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-04-11
  
• 厂        商：
  
  sun
• 漏洞来源：
  Mariano Nuñ…

SAP的RFC库是SAP软件中所广泛使用的组件，允许用户从外部应用程序调用SAP系统中的任意RFC函数。

SAP的RFC库默认所安装的Trusted_System_Security函数可以被用户获得Windows域的指纹，但其部署方式允许攻击者远程识别出外部服务器的system/domain/trusted域中是否存在用户帐号或用户组。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.sap.com

来源: XF

名称: sap-rfc-syssecurity-information-disclosure(33423)

链接:http://xforce.iss.net/xforce/xfdb/33423

来源: BID

名称: 23305

链接:http://www.securityfocus.com/bid/23305

来源: BUGTRAQ

名称: 20070404 CYBSEC Pre-Advisory: SAP TRUSTED_SYSTEM_SECURITY RFC Function Information Disclosure

链接:http://www.securityfocus.com/archive/1/archive/1/464669/100/0/threaded

来源: VUPEN

名称: ADV-2007-1270

链接:http://www.frsirt.com/english/advisories/2007/1270

来源: MISC

链接:http://www.cybsec.com/vuln/CYBSEC-Security_Advisory_SAP_TRUSTED_SYSTEM_SECURITY_RFC_Function_Information_Disclosure.pdf

来源: SECUNIA

名称: 24722

链接:http://secunia.com/advisories/24722

来源: SREASON

名称: 2535

链接:http://securityreason.com/securityalert/2535