SAP corrigió una falla que podría permitir a un atacante tomar control completo sobre una base de datos, de acuerdo con el proveedor de seguridad Trustwave.

La falla (CVE-2014-6284) afecta a Adaptive Server Enterprise (ASE) de SAP, una base de datos relacional para sistemas Unix, Linux y Windows diseñada para grandes volúmenes de transacciones de datos. Las versiones vulnerables son 12.5, 15, 15.5, 15.7 y 16.

Martin Rakhmanov, investigador senior de seguridad de TrustWave, encontró un error en el mecanismo de desafío y respuesta utilizado para acceder a ASE. El acceso obtenido no es el de una cuenta con privilegios, pero TrustWave dijo que otras fallas permitían que los privilegios fueran escalados a los de un administrador de la base de datos.

"Combinada con dichas vulnerabilidades de escalación de privilegios, esta falla permite tomar completo control del servidor de base de datos", dijo TrustWave en sus recomendaciones.

TrustWave publicó el código de una Prueba de Concepto en GitHub. SAP también publicó una nota de seguridad pero requiere de autenticación para verla.