Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1012066-19)
SAP Support Packages
(SAPKB46B62, SAPKB46C55, SAPKB46C61, SAPKB62062, SAPKB62069, SAPKB64020, SAPKB64027, SAPKB70012, SAPKB70023, SAPKB70108, SAPKB70205, SAPKB71011, SAPKB71106, SAPKB72004, SAPKB73001)
Описание
1.) При помощи транзакции SE38 или SE80 можно запустить исполняемую программу (отчет) в стандартной системе SAP, если имеются полномочия на просмотр или изменение и если отчет не назначен ни одной из авторизационных групп.
2.) При поиске исполняемой программы можно воспользоваться пунктом меню "Program -> Execute", чтобы запустить эту программу, при условии, что она не назначена какой-либо авторизационной группе.
3.) При поиске исполняемой программы можно воспользоваться контекстным меню перечня объектов в обозревателе объектов, чтобы запустить эту программу, при условии, что она не назначена какой-либо авторизационной группе.
Примеры поиска:
а) Вы вызываете транзакцию SE09 для просмотра запроса, содержащего исполняемую программу. При наличии полномочий на просмотр или изменение можно двойным нажатием перейти к программе в режиме просмотра. Если программа не назначена авторизационной группе, то можно ее можно запустить.
б) Вы вызываете транзакцию ST22 и выводите дамп. От туда можно просмотреть программу при наличии полномочий на просмотр или изменение.
Можно запустить эту программу, если она является исполняемой и не назначена авторизационной группе.
Как исправить
Модификация функционального модуля EXTENDED_AUTH_CHECK_FOR_REPS, распространяемая с этим извещением и предназначенная для версий 7.00 и ниже, позволяет обеспечить более строгую проверку полномочий.
В версиях 7.01 и 7.02 данный функциональный модуль содержится в базовой версии системы.
Функциональный модуль содержит в качестве стандартного следующее закомментированное значение для проверки полномочий:
* authority-check object 'S_DEVELOP'
* id 'DEVCLASS' dummy
* id 'OBJTYPE' field 'PROG'
* id 'OBJNAME' field reportname
* id 'P_GROUP' dummy
* id 'ACTVT' field '16'.
* returncode = sy-subrc.
Если для удаления символов комментариев используются пользовательские модификации, то эта проверка полномочий выполняется при создании отчета в транзакции SE38, SE80 или в режиме просмотра.
В этом случае получаются следующие коды возврата:
код возврата = 0 Полномочия на выполнение отчета.
код возврата <> 0 Отсутствие полномочий на выполнение отчета.
Изменения, внесенные в ручную:
1. Во всех версиях с 4.6B по 7.00:
Можно использовать транзакцию SE91 для создания сообщения номер 322 класса ED следующего содержания:
"Отсутствуют полномочия на выполнение отчетов в SE80/SE38".
2. В версии 4.6B и версии 4.6C:
Перед применением руководства по исправлению ошибок используйте транзакцию SE37 или SE80 для создания функционального модуля EXTENDED_AUTH_CHECK_FOR_REPS в рамках функциональной группы S38E. При создании функционального модуля задайте следующие значения:
Краткое описание: Расширенная проверка полномочий для выполнения отчетов в SE38/SE80
Параметры импорта:
Наименование параметра: REPORTNAME
Описание типа: TYPE
Ассоциированный тип: SYREPID
Состояние: yes (успешно)
Параметры экспорта:
Наименование параметра: RETURNCODE
Описание типа: TYPE
Ассоциированный тип: SYSUBRC
Состояние: yes (успешно)
В версии 7.10 следующая проверка полномочий всегда раскомментирована в функциональном модуле EXTENDED_AUTH_CHECK_FOR_REPS:
authority-check object 'S_DEVELOP'
id 'DEVCLASS' dummy
id 'OBJTYPE' field 'PROG'
id 'OBJNAME' field reportname
id 'P_GROUP' dummy
id 'ACTVT' field '16'.
Таким образом, прежде закомментированный исходный код является раскомментированным в стандартной системе. Кроме того, система больше не проверяет полномочия на просмотр при выполнении отчетов в транзакции SE38 и SE80 (см. также Note 1022464).
В версиях 7.01 и 7.02 данный функциональный модуль содержится в базовой версии системы.
Функциональный модуль содержит в качестве стандартного следующее закомментированное значение для проверки полномочий:
* authority-check object 'S_DEVELOP'
* id 'DEVCLASS' dummy
* id 'OBJTYPE' field 'PROG'
* id 'OBJNAME' field reportname
* id 'P_GROUP' dummy
* id 'ACTVT' field '16'.
* returncode = sy-subrc.
Если для удаления символов комментариев используются пользовательские модификации, то эта проверка полномочий выполняется при создании отчета в транзакции SE38, SE80 или в режиме просмотра.
В этом случае получаются следующие коды возврата:
код возврата = 0 Полномочия на выполнение отчета.
код возврата <> 0 Отсутствие полномочий на выполнение отчета.
Изменения, внесенные в ручную:
1. Во всех версиях с 4.6B по 7.00:
Можно использовать транзакцию SE91 для создания сообщения номер 322 класса ED следующего содержания:
"Отсутствуют полномочия на выполнение отчетов в SE80/SE38".
2. В версии 4.6B и версии 4.6C:
Перед применением руководства по исправлению ошибок используйте транзакцию SE37 или SE80 для создания функционального модуля EXTENDED_AUTH_CHECK_FOR_REPS в рамках функциональной группы S38E. При создании функционального модуля задайте следующие значения:
Краткое описание: Расширенная проверка полномочий для выполнения отчетов в SE38/SE80
Параметры импорта:
Наименование параметра: REPORTNAME
Описание типа: TYPE
Ассоциированный тип: SYREPID
Состояние: yes (успешно)
Параметры экспорта:
Наименование параметра: RETURNCODE
Описание типа: TYPE
Ассоциированный тип: SYSUBRC
Состояние: yes (успешно)
В версии 7.10 следующая проверка полномочий всегда раскомментирована в функциональном модуле EXTENDED_AUTH_CHECK_FOR_REPS:
authority-check object 'S_DEVELOP'
id 'DEVCLASS' dummy
id 'OBJTYPE' field 'PROG'
id 'OBJNAME' field reportname
id 'P_GROUP' dummy
id 'ACTVT' field '16'.
Таким образом, прежде закомментированный исходный код является раскомментированным в стандартной системе. Кроме того, система больше не проверяет полномочия на просмотр при выполнении отчетов в транзакции SE38 и SE80 (см. также Note 1022464).
Ссылки