当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

SAP SQL Anywhere .NET Data Provider畸形整数栈缓冲区溢出代码

     发表日期:2014-12-08 14:42:00

SAP SQL Anywhere .NET Data Provider畸形整数栈缓冲区溢出代码执行漏洞
CVE-ID:CVE-2014-9264
发布日期:2014-12-09
更新日期:2014-12-16
受影响系统:
SAP SQL Anywhere
详细信息:

SAP SQL Anywhere是数据管理及同步技术的综合性解决方案,可以在嵌入式、SaaS、远程及移动环境内快速开发及布署数据库驱动的应用。

 

SAP SQL Anywhere在.NET Data Provider的实现上存在栈缓冲区溢出漏洞,远程攻击者通过构造的列别名,利用此漏洞可执行任意代码。此漏洞位于处理畸形整数常数的过程中。


来源:
John Leitch
参考信息:
http://www.zerodayinitiative.com/advisories/ZDI-14-415/
解决办法:
厂商补丁:

SAP
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

 

http://scn.sap.com/community/sql-anywhere