Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(889454-5)
SAP Support Packages
(SAP_BASIS_701_SP000_000000, SAP_BASIS_701_SP999999_999999, SAP_KERNEL_640_32_BIT_SP223_000223, SAP_KERNEL_640_32_BIT_SP999999_999999, SAP_KERNEL_640_32_BIT_UNICODE_SP223_000223, SAP_KERNEL_640_32_BIT_UNICODE_SP999999_999999, SAP_KERNEL_640_64_BIT_SP223_000223, SAP_KERNEL_640_64_BIT_SP999999_999999, SAP_KERNEL_640_64_BIT_UNICODE_SP223_000223, SAP_KERNEL_640_64_BIT_UNICODE_SP999999_999999, SAP_KERNEL_710_32_BIT_SP092_000092, SAP_KERNEL_710_32_BIT_SP999999_999999, SAP_KERNEL_710_32_BIT_UNICODE_SP092_000092, SAP_KERNEL_710_32_BIT_UNICODE_SP999999_999999, SAP_KERNEL_710_64_BIT_SP092_000092, SAP_KERNEL_710_64_BIT_SP999999_999999, SAP_KERNEL_710_64_BIT_UNICODE_SP092_000092, SAP_KERNEL_710_64_BIT_UNICODE_SP999999_999999)
Описание
Небезопасный параметр задан для ~designbaseurl.
Как исправить
В интегрированных и внешних ITS имеются проверки, предназначенные для предотвращения попыток межсайтового выполнения сценариев. Возможная атака может повлечь за собой проникновение CSS-файла с внешнего узла (в данном случае каскадных таблиц стилей) при помощи параметра ~designbaseurl.
Чтобы это предотвратить, ITS, по умолчанию, разрешает задавать в ~designbaseurl только текущий узел, на котором запущен интегрированный или внешний ITS. Для расширения диапазона разрешенных URL-адресов до домена, необходимо выполнить следующее:
1. Для внешних ITS:
В ключе реестра "Security/AllowDesignsFrom" укажите перечень разрешенных узлов или доменов, разделяя их запятыми, например:
< value name="AllowDesignsFrom" type="text">myhost,.company.com
2. Для интегрированных ITS:
Задайте параметр в файле профиля следующим образом, например:
itsp/Security/allow_designs_from = myhost,. company.com
Создайте пустой параметр в локальном файле профиля, чтобы избежать возможных сообщений об ошибках, вызванных отсутствием параметра. При отсутствии сообщения об ошибке система не проводит проверку.
Внимание: Поведение системы зависит от установленных исправлений ядра. Выше указанное возможно только при наличии определенных исправлений. Дополнительную информацию по данному вопросу см. также в бюллетене 1245048.
Чтобы это предотвратить, ITS, по умолчанию, разрешает задавать в ~designbaseurl только текущий узел, на котором запущен интегрированный или внешний ITS. Для расширения диапазона разрешенных URL-адресов до домена, необходимо выполнить следующее:
1. Для внешних ITS:
В ключе реестра "Security/AllowDesignsFrom" укажите перечень разрешенных узлов или доменов, разделяя их запятыми, например:
< value name="AllowDesignsFrom" type="text">myhost,.company.com
2. Для интегрированных ITS:
Задайте параметр в файле профиля следующим образом, например:
itsp/Security/allow_designs_from = myhost,. company.com
Создайте пустой параметр в локальном файле профиля, чтобы избежать возможных сообщений об ошибках, вызванных отсутствием параметра. При отсутствии сообщения об ошибке система не проводит проверку.
Внимание: Поведение системы зависит от установленных исправлений ядра. Выше указанное возможно только при наличии определенных исправлений. Дополнительную информацию по данному вопросу см. также в бюллетене 1245048.
Ссылки