Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1140031-1)
SAP Support Packages
(SAP_KERNEL_640_32_BIT_999999_999999, SAP_KERNEL_640_32_BIT_SP236_000236, SAP_KERNEL_640_32_BIT_SP999999_999999, SAP_KERNEL_700_32_BIT_999999_999999, SAP_KERNEL_700_32_BIT_SP163_000163, SAP_KERNEL_700_32_BIT_SP999999_999999, SAP_KERNEL_700_32_BIT_UNICODE_999999_999999, SAP_KERNEL_700_32_BIT_UNICODE_SP163_000163, SAP_KERNEL_700_32_BIT_UNICODE_SP999999_999999, SAP_KERNEL_700_64_BIT_999999_999999, SAP_KERNEL_700_64_BIT_SP163_000163, SAP_KERNEL_700_64_BIT_SP999999_999999, SAP_KERNEL_700_64_BIT_UNICODE_999999_999999, SAP_KERNEL_700_64_BIT_UNICODE_SP163_000163, SAP_KERNEL_700_64_BIT_UNICODE_SP999999_999999, SAP_KERNEL_701_32_BIT_999999_999999, SAP_KERNEL_701_32_BIT_SP000_000000, SAP_KERNEL_701_32_BIT_SP002_000002, SAP_KERNEL_701_32_BIT_SP999999_999999, SAP_KERNEL_710_32_BIT_999999_999999, SAP_KERNEL_710_32_BIT_SP107_000107, SAP_KERNEL_710_32_BIT_SP999999_999999, SAP_KERNEL_710_32_BIT_UNICODE_999999_999999, SAP_KERNEL_710_32_BIT_UNICODE_SP107_000107, SAP_KERNEL_710_32_BIT_UNICODE_SP999999_999999, SAP_KERNEL_710_64_BIT_999999_999999, SAP_KERNEL_710_64_BIT_SP107_000107, SAP_KERNEL_710_64_BIT_SP999999_999999, SAP_KERNEL_710_64_BIT_UNICODE_999999_999999, SAP_KERNEL_710_64_BIT_UNICODE_SP107_000107, SAP_KERNEL_710_64_BIT_UNICODE_SP999999_999999)
Описание
Один из файловых интерфейсов ALE, т.е. порт типа "file" и порт типа "XML file", используется совместно с функцией инициации внешней подсистемы при помощи rfcexec.
Как исправить
Существует 3 способа обеспечения безопасности файлового интерфейса с инициацией в отношении уязвимостей, вызванных RFC-библиотекой.
Для всех решений с применением RFC-взаимодействий SAP настоятельно рекомендует использовать SNC для обеспечения безопасности соединения.
Способ 1: Инициация с использованием SAP NetWeaver RFC-библиотеки.
Основанные на SAP NetWeaver RFC-библиотеке (SAP note #1025361) ALE-ориентированные rfcexec и startrfc исполняемые файлы представлены в версии SAP NetWeaver RFCSDK 7.10 Patch Level 2 (SAP note #1058327), которая может быть скачана с SMP.
Использование преимуществ данного пакета усовершенствований безопасности SAP NetWeaver RFC-библиотеки по сравнению с классическими RFC-библиотеками ASCII и Unicode. Более того, startrfc данного пакета может вызывать только функциональные модули DI_DATA_INCOMING и EDI_STATUS_INCOMING; rfcexec проверяет принадлежность ALE-ракурсу запроса на выполнение команды (требуется ядро 6.40 Patch-level 236, 7.00 Patch-level 163 или 7.10 Patch-level 107), и может сопровождаться файлом конфигурации.
Каждая строка файла конфигурации содержит:
Команду, проверяемую на соответствие значению из описания порта;
Системный идентификатор;
Мандат;
Имя пользователя.
Способ 2: Инициация с использованием классической RFC-библиотеки.
rfcexec на основе классической RFC-библиотеки представляет собой родовой RFC-сервер, который можно контролировать при помощи списка запрещенных команд (черного списка). Подробную информацию см. в SAP Note #618516. Черный список и классическая RFC-библиотека могут содержать уязвимости, вследствие их сложности.
Способ 3: Не используйте триггер!
Без триггера интерфейсы ALE-файлов не нуждаются ни в каких функциональных возможностях RFC, поэтому RFC-библиотеки могут быть удалены (помните, что они могут использоваться другими компонентами).
Поскольку в настоящий момент подсистеме сложно определить создан ли файл интерфейсом ALE, то назначение SAP задач по созданию IDoc-файлов с их последующим использованием подсистемой является сложной задачей. Для решения данной проблемы разработка ALE будет реализована для SAP NetWeaver 7.11 и выше (SAP note #1169005), что обеспечит файловое квитирование (hand shake) для IDoc-файлов.
Для всех решений с применением RFC-взаимодействий SAP настоятельно рекомендует использовать SNC для обеспечения безопасности соединения.
Способ 1: Инициация с использованием SAP NetWeaver RFC-библиотеки.
Основанные на SAP NetWeaver RFC-библиотеке (SAP note #1025361) ALE-ориентированные rfcexec и startrfc исполняемые файлы представлены в версии SAP NetWeaver RFCSDK 7.10 Patch Level 2 (SAP note #1058327), которая может быть скачана с SMP.
Использование преимуществ данного пакета усовершенствований безопасности SAP NetWeaver RFC-библиотеки по сравнению с классическими RFC-библиотеками ASCII и Unicode. Более того, startrfc данного пакета может вызывать только функциональные модули DI_DATA_INCOMING и EDI_STATUS_INCOMING; rfcexec проверяет принадлежность ALE-ракурсу запроса на выполнение команды (требуется ядро 6.40 Patch-level 236, 7.00 Patch-level 163 или 7.10 Patch-level 107), и может сопровождаться файлом конфигурации.
Каждая строка файла конфигурации содержит:
Команду, проверяемую на соответствие значению из описания порта;
Системный идентификатор;
Мандат;
Имя пользователя.
Способ 2: Инициация с использованием классической RFC-библиотеки.
rfcexec на основе классической RFC-библиотеки представляет собой родовой RFC-сервер, который можно контролировать при помощи списка запрещенных команд (черного списка). Подробную информацию см. в SAP Note #618516. Черный список и классическая RFC-библиотека могут содержать уязвимости, вследствие их сложности.
Способ 3: Не используйте триггер!
Без триггера интерфейсы ALE-файлов не нуждаются ни в каких функциональных возможностях RFC, поэтому RFC-библиотеки могут быть удалены (помните, что они могут использоваться другими компонентами).
Поскольку в настоящий момент подсистеме сложно определить создан ли файл интерфейсом ALE, то назначение SAP задач по созданию IDoc-файлов с их последующим использованием подсистемой является сложной задачей. Для решения данной проблемы разработка ALE будет реализована для SAP NetWeaver 7.11 и выше (SAP note #1169005), что обеспечит файловое квитирование (hand shake) для IDoc-файлов.
Ссылки