漏洞关键信息 1. 漏洞概述 CVE编号: CVE-2016-6146 标题: SAP TREX TNS Information Disclosure in NameServer 描述: 该漏洞允许远程未授权攻击者披露TREX系统的技术信息,通过向服务器执行查询。 2. 影响范围 严重性: 中等 CVSS评分: - Vendor Provided: 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:N) - Onapsis CVSS v2: 5.0 (AV:N/AC:L/Au:N/C:P/I:N/A:N) - Onapsis CVSS v3: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N) 3. 漏洞细节 远程可利用: 是 本地可利用: 否 需要认证: 否 4. 受影响组件 厂商: SAP AG 受影响组件: SAP TREX 7.10 - Revision 63 漏洞类型: 通过发送的数据进行信息泄露(CWE-201) 5. 解决方案 修复方法: 实施SAP安全说明 2234226 6. 报告时间线 2015年4月2号: Onapsis向SAP AG提供漏洞信息 2015年4月3号: SAP AG确认收到漏洞报告 2015年8月12号: SAP发布SAP Security Note 2234226修复漏洞 2016年7月20号: Onapsis发布安全公告 7. 相关链接 原始安全公告: http://onapsis.com/research/security-advisories/sap-trex-tns-information-disclosure-nameserver