English

◀◁ 뒤로 취약점ID 21660 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 SAP IGS가 해당 호스트에서 가동 중인 것으로 보이며 디렉토리 탐색 공격에 취약하다. SAP R3는 다양한 사업 기능들을 서비스해 주는 여러 개의 구성요소들을 포함하고 있는 인기있는 어플리케이션 패키지이다. IGS (Internet Graphics Server)는 SAP R/3 엔터프라이즈 환경의 부가적인 구성요소이며 소규모의 웹 서버로서 HTTP를 통해 액세스 가능하다. SAP R/3의 6.40 Patch 11 이전의 버전들은 문서 경로명들을 처리할 때 SAP의 Internet Graphics Server에 있는 입력 검증 오류로 인하여 디렉토리 탐색 취약점에 취약하다. "dot dot" 시퀀스(/../)를 포함한 잘 조작된 문서 경로를 보냄으로써, 원격지의 공격자는 웹 서비스의 권한을 가지고 웹 root 디렉토리의 외부에 있는 임의의 파일들을 읽어 낼 수 있다. * 참고 사이트: http://secunia.com/advisories/16208/ http://online.securityfocus.com/archive/1/406375/30/0/threaded * 영향을 받는 플랫폼: SAP R/3의 6.40 Patch 11 이전의 버전들 모든 운영체제 모든 버전 해결책 SAP R/3 웹 사이트인 http://service.sap.com/patches 에서 구할 수 있는 SAP IGS 소프트웨어의 가장 최신 버전(6.40 Patch 11 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2005-1691 (CVE) 관련 URL 14369 (SecurityFocus) 관련 URL 21548 (ISS)