• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1072946 - Шлюз: Обход команд системы администрирования шлюза

Главная Специалистам База уязвимостей Note 1072946 - Шлюз: Обход команд системы администрирования шлюза

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1072946-4) SAP Support Packages (SAP_KERNEL_46D_EX2_32_BIT_SP2498_002498, SAP_KERNEL_46D_EX2_32_BIT_SP999999_999999, SAP_KERNEL_46D_EX2_64_BIT_SP2498_002498, SAP_KERNEL_46D_EX2_64_BIT_SP999999_999999, SAP_KERNEL_46D_EXT_32_BIT_SP2498_002498, SAP_KERNEL_46D_EXT_32_BIT_SP999999_999999, SAP_KERNEL_46D_EXT_64_BIT_SP2498_002498, SAP_KERNEL_46D_EXT_64_BIT_SP999999_999999, SAP_KERNEL_640_32_BIT_SP313_000313, SAP_KERNEL_640_32_BIT_SP999999_999999, SAP_KERNEL_640_32_BIT_UNICODE_SP313_000313, SAP_KERNEL_640_32_BIT_UNICODE_SP999999_999999, SAP_KERNEL_640_64_BIT_SP313_000313, SAP_KERNEL_640_64_BIT_SP999999_999999, SAP_KERNEL_640_64_BIT_UNICODE_SP313_000313, SAP_KERNEL_640_64_BIT_UNICODE_SP999999_999999, SAP_KERNEL_640_EX2_32_BIT_SP313_000313, SAP_KERNEL_640_EX2_32_BIT_SP999999_999999, SAP_KERNEL_640_EX2_32_BIT_UC_SP313_000313, SAP_KERNEL_640_EX2_32_BIT_UC_SP999999_999999, SAP_KERNEL_640_EX2_64_BIT_SP313_000313, SAP_KERNEL_640_EX2_64_BIT_SP999999_999999, SAP_KERNEL_640_EX2_64_BIT_UC_SP313_000313, SAP_KERNEL_640_EX2_64_BIT_UC_SP999999_999999, SAP_KERNEL_700_32_BIT_SP236_000236, SAP_KERNEL_700_32_BIT_SP999999_999999, SAP_KERNEL_700_32_BIT_UNICODE_SP236_000236, SAP_KERNEL_700_32_BIT_UNICODE_SP999999_999999, SAP_KERNEL_700_64_BIT_SP236_000236, SAP_KERNEL_700_64_BIT_SP999999_999999, SAP_KERNEL_700_64_BIT_UNICODE_SP236_000236, SAP_KERNEL_700_64_BIT_UNICODE_SP999999_999999, SAP_KERNEL_701_32_BIT_SP073_000073, SAP_KERNEL_701_32_BIT_SP999999_999999, SAP_KERNEL_701_32_BIT_UNICODE_SP073_000073, SAP_KERNEL_701_32_BIT_UNICODE_SP999999_999999, SAP_KERNEL_701_64_BIT_SP073_000073, SAP_KERNEL_701_64_BIT_SP999999_999999, SAP_KERNEL_701_64_BIT_UNICODE_SP073_000073, SAP_KERNEL_701_64_BIT_UNICODE_SP999999_999999, SAP_KERNEL_710_32_BIT_SP182_000182, SAP_KERNEL_710_32_BIT_SP999999_999999, SAP_KERNEL_710_32_BIT_UNICODE_SP182_000182, SAP_KERNEL_710_32_BIT_UNICODE_SP999999_999999, SAP_KERNEL_710_64_BIT_SP182_000182, SAP_KERNEL_710_64_BIT_SP999999_999999, SAP_KERNEL_710_64_BIT_UNICODE_SP182_000182, SAP_KERNEL_710_64_BIT_UNICODE_SP999999_999999, SAP_KERNEL_711_32_BIT_SP070_000070, SAP_KERNEL_711_32_BIT_SP999999_999999, SAP_KERNEL_711_32_BIT_UNICODE_SP070_000070, SAP_KERNEL_711_32_BIT_UNICODE_SP999999_999999, SAP_KERNEL_711_64_BIT_SP070_000070, SAP_KERNEL_711_64_BIT_SP999999_999999, SAP_KERNEL_711_64_BIT_UNICODE_SP070_000070, SAP_KERNEL_711_64_BIT_UNICODE_SP999999_999999)
Описание
Некоторые транзакции и отчеты пытаются отобразить информацию об удаленной системе. До настоящего времени эта информация не считалась относящейся к вопросам безопасности. После проведения исследований безопасности классификация была изменена.
Как исправить
Шлюз не пропускает запросы от удаленных систем, если установлен параметр gw/monitor=1. Эти изменения существуют для следующих уровней обновления:

7.00: 116
6.40: 194

Для данных версий, значение параметра по умолчанию все еще установлено на gw/monitor=2; необходимо установить его на 1. Можно вызвать транзакцию SMGW и выбрать "Goto -> Parameters -> Change", чтобы сделать это в динамическом режиме (т.е. без перезапуска компонента). Однако, необходимо также внести изменение в транзакцию RZ10 (работа с настройками профиля компонента).

В результате, некоторые функциональные модули (например, для определения количества зарегистрированных программ или запроса списка всех соединений) могут выдать сообщение об ошибке GWY_MONITOR_DISABLED.
Ссылки