CVE-2016-2386

SAP NetWeaver

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-09

Официальное описание

SQL injection vulnerability in the UDDI server in SAP NetWeaver J2EE Engine 7.40 allows remote attackers to execute arbitrary SQL commands via unspecified vectors.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2016-2386 представляет собой критическую уязвимость типа SQL-инъекция в компоненте UDDI (Universal Description, Discovery, and Integration) сервера приложений SAP NetWeaver J2EE Engine версии 7.40.

Проблема возникает из-за недостаточной фильтрации входных данных в поисковых запросах к UDDI-серверу. Удаленный аутентифицированный злоумышленник может внедрить произвольные SQL-команды в запросы к базе данных. Это позволяет несанкционированно читать, изменять или удалять данные, а в определенных конфигурациях — получить полный контроль над базой данных и нижележащей операционной системой.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официального исправления от SAP (Security Note #2102019).

  1. Перейдите на SAP Support Portal.
  2. Найдите и скачайте соответствующий Service Pack (SP) или Patch для вашего компонента UDDI-SERVER.
  3. Используйте SAP Software Update Manager (SUM) для развертывания обновления.

Для SAP NetWeaver 7.40 необходимо обновить компонент до следующих уровней (или выше): * UDDI-SERVER 7.40 SP11 (Patch 0) * UDDI-SERVER 7.40 SP10 (Patch 2) * UDDI-SERVER 7.40 SP09 (Patch 5)

Пример проверки версии компонента через консоль (Telnet):

list_app

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать риски с помощью следующих шагов:

  1. Отключение сервиса UDDI: Если бизнес-процессы не используют UDDI, полностью остановите приложение через SAP NetWeaver Administrator (NWA). Путь в NWA: Operations -> Systems -> Start & Stop -> Java Applications. Найдите com.sap.uddi и остановите его.

  2. Ограничение сетевого доступа: Настройте правила межсетевого экрана (ACL) или используйте SAP Web Dispatcher, чтобы ограничить доступ к портам J2EE Engine (по умолчанию 5xx00) только для доверенных IP-адресов администраторов.

  3. Настройка фильтрации на WAF: Настройте Web Application Firewall на блокировку специфических SQL-конструкций в теле POST-запросов, направленных на эндпоинты UDDI.

  4. Проверка прав доступа к БД: Убедитесь, что учетная запись пользователя базы данных, под которой работает SAP J2EE Engine, обладает минимально необходимыми привилегиями (принцип Least Privilege).

REVOKE ALL PRIVILEGES FROM <SAP_DB_USER>;
GRANT SELECT, INSERT, UPDATE, DELETE ON <SAP_SCHEMA> TO <SAP_DB_USER>;
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей