• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 931251 - Бюллетень по безопасности: Проверка полномочий для функциональных модулей

Главная Специалистам База уязвимостей Note 931251 - Бюллетень по безопасности: Проверка полномочий для функциональных модулей

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (931251-3)
Описание
При вызове функций RFC, проверка полномочий выполняется на технологическом уровне в RFC, а также на бизнес-уровне (AUTHORITY-CHECK в ABAP).
По причине того, что проверки полномочий на технологическом уровне выполняются только для функциональных групп (R3TR FUGR), существует угроза безопасности.
Информацию, касающуюся функций функциональной группы SRFC, см. в бюллетене 931252.
Как исправить
Проверка полномочий на технологическом уровне распространяется на функциональные модули.
Для проверки полномочий можно использовать объект полномочий S_RFC:
Для функциональной группы
RFC_TYPE = "FUGR"
RFC_NAME = <название функциональной группы>
ACTVT = "16"
Для функционального модуля
RFC_TYPE = "FUNC"
RFC_NAME = <название функционального модуля>
ACTVT = "16"
При запуске, первая проверка выполняется для функциональной группы. Если данная проверка не проходит, выполняется проверка для функционального модуля. В случае подобного поведения, при модернизации (апгрейде) никаких изменений не ожидается, но возможно включение более мелких проверок полномочий.
Внимание: проверка полномочий выполняется однократно, при первом запуске функционального модуля в рамках отдельной RFC-сессии.
Ссылки