SAP NetWeaver AS for JavaのDoS(3056652)

high Nessus プラグイン ID 151663

概要

リモートのSAP NetWeaver AS for Javaサーバーは、サービス拒否の脆弱性の影響を受ける可能性があります。

説明

SAP NetWeaver AS for Java(Httpサービス監視フィルター)、バージョン- 7.10、7.11、7.20、7.30、7.31、7.40、7.50により、攻撃者が異なるメソッドタイプで複数のHTTPリクエストを送信し、他の正当なユーザーがHTTPサーバーを利用できないようにして、サービス拒否の脆弱性を引き起こす可能性があります。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

ベンダーのアドバイザリにしたがって適切なパッチを適用してください。

参考資料

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=580617506

https://launchpad.support.sap.com/#/notes/3056652

プラグインの詳細

深刻度: High

ID: 151663

ファイル名: sap_netweaver_as_3056652.nasl

バージョン: 1.2

タイプ: remote

ファミリー: Web Servers

公開日: 2021/7/15

更新日: 2021/7/19

設定: パラノイドモードの有効化

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2021-33670

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:sap:netweaver_application_server

必要な KB アイテム: Settings/ParanoidReport, installed_sw/SAP Netweaver Application Server (AS)

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/7/13

脆弱性公開日: 2021/7/13

参照情報

CVE: CVE-2021-33670