📚 SAP HANA Information Disclosure [CVE-2016-3639]
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In SAP HANA - die betroffene Version ist nicht bekannt - wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Hierbei betrifft es eine unbekannte Funktion. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für die Vertraulichkeit.
Die Schwachstelle wurde am 18.08.2016 als ONAPSIS-2016-006 / 2176128 in Form eines bestätigten Mailinglist Posts (Full-Disclosure) öffentlich gemacht. Bereitgestellt wird das Advisory unter seclists.org. Die Veröffentlichung passierte hierbei in Koordination mit SAP. Die Verwundbarkeit wird seit dem 22.03.2016 als CVE-2016-3639 geführt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk angegangen werden. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Das Advisory weist darauf hin:
A user could retrieve technical information such as host name, HTTP/S ports, Hana version and potentially additional technical information. By default, this information can be accessed remotely through a web browser without requiring user credentials.
Mindestens 152 Tage galt die Schwachstelle als nicht öffentlicher Zero-Day. Während dieser Zeit erzielte er wohl etwa $5k-$10k auf dem Schwarzmarkt.
Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. SAP hat damit vorgängig gehandelt.
CVSSv3
Base Score: 4.3 [?]Temp Score: 4.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 4.0 (CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N) [?]Temp Score: 3.5 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Information DisclosureLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: PatchStatus: Offizieller Fix
Reaction Time: 152 Tage seit gemeldet
0-Day Time: 152 Tage seit gefunden
Timeline
12.03.2015 Hersteller informiert13.03.2015 Hersteller bestätigt
11.08.2015 Gegenmassnahme veröffentlicht
22.03.2016 CVE zugewiesen
18.08.2016 Advisory veröffentlicht
19.08.2016 VulDB Eintrag erstellt
19.08.2016 VulDB letzte Aktualisierung
Quellen
Advisory: ONAPSIS-2016-006 / 2176128Status: Bestätigt
Bestätigung: onapsis.com
Koordiniert: Ja
CVE: CVE-2016-3639 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 19.08.2016Eintrag: 76.8% komplett
...