• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 889454 - Межсайтовое выполнение сценариев (XSS) при помощи ~designbaseurl

Главная Специалистам База уязвимостей Note 889454 - Межсайтовое выполнение сценариев (XSS) при помощи ~designbaseurl

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (889454-5) SAP Support Packages (SAP_BASIS_701_SP000_000000, SAP_BASIS_701_SP999999_999999, SAP_KERNEL_640_32_BIT_SP223_000223, SAP_KERNEL_640_32_BIT_SP999999_999999, SAP_KERNEL_640_32_BIT_UNICODE_SP223_000223, SAP_KERNEL_640_32_BIT_UNICODE_SP999999_999999, SAP_KERNEL_640_64_BIT_SP223_000223, SAP_KERNEL_640_64_BIT_SP999999_999999, SAP_KERNEL_640_64_BIT_UNICODE_SP223_000223, SAP_KERNEL_640_64_BIT_UNICODE_SP999999_999999, SAP_KERNEL_710_32_BIT_SP092_000092, SAP_KERNEL_710_32_BIT_SP999999_999999, SAP_KERNEL_710_32_BIT_UNICODE_SP092_000092, SAP_KERNEL_710_32_BIT_UNICODE_SP999999_999999, SAP_KERNEL_710_64_BIT_SP092_000092, SAP_KERNEL_710_64_BIT_SP999999_999999, SAP_KERNEL_710_64_BIT_UNICODE_SP092_000092, SAP_KERNEL_710_64_BIT_UNICODE_SP999999_999999)
Описание
Небезопасный параметр задан для ~designbaseurl.
Как исправить
В интегрированных и внешних ITS имеются проверки, предназначенные для предотвращения попыток межсайтового выполнения сценариев. Возможная атака может повлечь за собой проникновение CSS-файла с внешнего узла (в данном случае каскадных таблиц стилей) при помощи параметра ~designbaseurl.
Чтобы это предотвратить, ITS, по умолчанию, разрешает задавать в ~designbaseurl только текущий узел, на котором запущен интегрированный или внешний ITS. Для расширения диапазона разрешенных URL-адресов до домена, необходимо выполнить следующее:
1. Для внешних ITS:

В ключе реестра "Security/AllowDesignsFrom" укажите перечень разрешенных узлов или доменов, разделяя их запятыми, например:

< value name="AllowDesignsFrom" type="text">myhost,.company.com

2. Для интегрированных ITS:

Задайте параметр в файле профиля следующим образом, например:

itsp/Security/allow_designs_from = myhost,. company.com
Создайте пустой параметр в локальном файле профиля, чтобы избежать возможных сообщений об ошибках, вызванных отсутствием параметра. При отсутствии сообщения об ошибке система не проводит проверку.

Внимание: Поведение системы зависит от установленных исправлений ядра. Выше указанное возможно только при наличии определенных исправлений. Дополнительную информацию по данному вопросу см. также в бюллетене 1245048.
Ссылки