Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1175239-9)
SAP Support Packages
(ENGINEAPI_710_999999_999999, ENGINEAPI_710_SP005_000004, ENGINEAPI_710_SP999999_999999, J2EE_ENGINE_APPLICATIONS_711_999999_999999, J2EE_ENGINE_APPLICATIONS_711_SP001_000006, J2EE_ENGINE_APPLICATIONS_711_SP002_000005, J2EE_ENGINE_APPLICATIONS_711_SP003_000008, J2EE_ENGINE_APPLICATIONS_711_SP004_000005, J2EE_ENGINE_APPLICATIONS_711_SP005_000003, J2EE_ENGINE_APPLICATIONS_711_SP006_000000, J2EE_ENGINE_APPLICATIONS_711_SP999999_999999, J2EE_ENGINE_SERVERCORE_710_999999_999999, J2EE_ENGINE_SERVERCORE_710_SP005_000003, J2EE_ENGINE_SERVERCORE_710_SP999999_999999, SAP_J2EE_ENGINE_640_999999_999999, SAP_J2EE_ENGINE_640_SP026_000001, SAP_J2EE_ENGINE_640_SP999999_999999, SAP_J2EE_ENGINE_CORE_640_999999_999999, SAP_J2EE_ENGINE_CORE_640_SP022_000004, SAP_J2EE_ENGINE_CORE_640_SP023_000005, SAP_J2EE_ENGINE_CORE_640_SP024_000005, SAP_J2EE_ENGINE_CORE_640_SP025_000004, SAP_J2EE_ENGINE_CORE_640_SP027_000000, SAP_J2EE_ENGINE_CORE_640_SP999999_999999, SAP_J2EE_ENGINE_CORE_700_999999_999999, SAP_J2EE_ENGINE_CORE_700_SP018_000015, SAP_J2EE_ENGINE_CORE_700_SP019_000017, SAP_J2EE_ENGINE_CORE_700_SP020_000013, SAP_J2EE_ENGINE_CORE_700_SP021_000006, SAP_J2EE_ENGINE_CORE_700_SP023_000000, SAP_J2EE_ENGINE_CORE_700_SP999999_999999, SAP_J2EE_ENGINE_CORE_701_999999_999999, SAP_J2EE_ENGINE_CORE_701_SP003_000015, SAP_J2EE_ENGINE_CORE_701_SP004_000014, SAP_J2EE_ENGINE_CORE_701_SP005_000014, SAP_J2EE_ENGINE_CORE_701_SP006_000006, SAP_J2EE_ENGINE_CORE_701_SP007_000006, SAP_J2EE_ENGINE_CORE_701_SP008_000000, SAP_J2EE_ENGINE_CORE_701_SP999999_999999, SAP_J2EE_ENGINE_CORE_702_999999_999999, SAP_J2EE_ENGINE_CORE_702_SP003_000002, SAP_J2EE_ENGINE_CORE_702_SP004_000001, SAP_J2EE_ENGINE_CORE_702_SP005_000000, SAP_J2EE_ENGINE_CORE_702_SP999999_999999, SAP_JAVA_TECH_SERVICES_640_999999_999999, SAP_JAVA_TECH_SERVICES_640_SP026_000000, SAP_JAVA_TECH_SERVICES_640_SP999999_999999, SAP_JAVA_TECH_SERVICES_700_999999_999999, SAP_JAVA_TECH_SERVICES_700_SP019_000008, SAP_JAVA_TECH_SERVICES_700_SP020_000005, SAP_JAVA_TECH_SERVICES_700_SP021_000001, SAP_JAVA_TECH_SERVICES_700_SP022_000000, SAP_JAVA_TECH_SERVICES_700_SP999999_999999, SAP_JAVA_TECH_SERVICES_701_999999_999999, SAP_JAVA_TECH_SERVICES_701_SP003_000011, SAP_JAVA_TECH_SERVICES_701_SP004_000013, SAP_JAVA_TECH_SERVICES_701_SP005_000009, SAP_JAVA_TECH_SERVICES_701_SP006_000001, SAP_JAVA_TECH_SERVICES_701_SP007_000000, SAP_JAVA_TECH_SERVICES_701_SP999999_999999, SAP_JAVA_TECH_SERVICES_702_999999_999999, SAP_JAVA_TECH_SERVICES_702_SP003_000000, SAP_JAVA_TECH_SERVICES_702_SP999999_999999)
Описание
Уязвимость существует в механизме аутентификации.
Как исправить
Для версии 7.11:
Программная вставка реализована во всех SP.
Чтобы применить ее, необходимо загрузить последнюю версию J2EEAPPS.SCA для текущего SP и установить ее в систему.
Для версии 7.10:
Программная вставка уже доступна для 710 SP6.
Для 710 SP5 используйте последние программные вставки для компонентов SERVERCORE и ENGINEAPI, доступные на SAP Service Marketplace.
Для версий 640, 700, 701 и 702:
- Исключение и проверка наличия специальных символов сценария были реализованы в приложении авторизации, поэтому дополнительные исправления не требуются.
- Шифрование оригинального URL-адреса было реализовано и будет доступно в 640 SP26, 700 SP22, 701 SP07, 702 SP03. Downport для более ранних SP (выпущенных за последние 18 месяцев):
640: SP22 по 25
700: SP18 по 21
701: SP03 по 06
702: SP02
был также выпущен, поэтому просто используйте последние программные вставки для компонентов SAP_JTECHS и SAP-JEECOR с SAP Service Marketplace, в соответствии с текущим уровнем SP.
## I M P O R T A N T ##
-----------------------------------------------------------------------
В версиях 640 и 70X программная вставка состоит из 2 компонентов (SCA-архивы, а именно, SAP_JTECHS.sca и SAP-JEECOR). Если по какой-то причине вы применили только одну из них, вы можете столкнуться с одной из следующих проблем:
1. После авторизации вы будете перенаправлены на index.html вместо запрашиваемого ресурса (например, http://:/index.html).
2. Вы получите следующее исключение:
java.lang.NoSuchMethodError:com.sap.security.core.util.imp.LogonUtils.decryptURL
3. Вы получите следующее исключение:
java.lang.NoClassDefFoundError:com/sap/engine/services/security/seckey/SecKeyManagement
4. После ввода имени пользователя/пароля вы получаете сообщение "404 Not Found", а в адресной строке браузера запрашиваемый ресурс отображается в виде зашифрованной последовательности букв (например, http://:/fmdosjfoiihgiudf33432ljnnvlkn%20knkn).
Чтобы устранить данную уязвимость, необходимо применить последние программные вставки в соответствии с установленным Service Pack для обоих выше упомянутых компонентов.
-----------------------------------------------------------------------
Программная вставка реализована во всех SP.
Чтобы применить ее, необходимо загрузить последнюю версию J2EEAPPS.SCA для текущего SP и установить ее в систему.
Для версии 7.10:
Программная вставка уже доступна для 710 SP6.
Для 710 SP5 используйте последние программные вставки для компонентов SERVERCORE и ENGINEAPI, доступные на SAP Service Marketplace.
Для версий 640, 700, 701 и 702:
- Исключение и проверка наличия специальных символов сценария были реализованы в приложении авторизации, поэтому дополнительные исправления не требуются.
- Шифрование оригинального URL-адреса было реализовано и будет доступно в 640 SP26, 700 SP22, 701 SP07, 702 SP03. Downport для более ранних SP (выпущенных за последние 18 месяцев):
640: SP22 по 25
700: SP18 по 21
701: SP03 по 06
702: SP02
был также выпущен, поэтому просто используйте последние программные вставки для компонентов SAP_JTECHS и SAP-JEECOR с SAP Service Marketplace, в соответствии с текущим уровнем SP.
## I M P O R T A N T ##
-----------------------------------------------------------------------
В версиях 640 и 70X программная вставка состоит из 2 компонентов (SCA-архивы, а именно, SAP_JTECHS.sca и SAP-JEECOR). Если по какой-то причине вы применили только одну из них, вы можете столкнуться с одной из следующих проблем:
1. После авторизации вы будете перенаправлены на index.html вместо запрашиваемого ресурса (например, http://
2. Вы получите следующее исключение:
java.lang.NoSuchMethodError:com.sap.security.core.util.imp.LogonUtils.decryptURL
3. Вы получите следующее исключение:
java.lang.NoClassDefFoundError:com/sap/engine/services/security/seckey/SecKeyManagement
4. После ввода имени пользователя/пароля вы получаете сообщение "404 Not Found", а в адресной строке браузера запрашиваемый ресурс отображается в виде зашифрованной последовательности букв (например, http://
Чтобы устранить данную уязвимость, необходимо применить последние программные вставки в соответствии с установленным Service Pack для обоих выше упомянутых компонентов.
-----------------------------------------------------------------------
Ссылки