Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1419607-3)
SAP Support Packages
(MESSAGING_SYSTEM_SERVICE_710_SP010_000000, MESSAGING_SYSTEM_SERVICE_710_SP999999_999999, MESSAGING_SYSTEM_SERVICE_711_SP005_000000, MESSAGING_SYSTEM_SERVICE_711_SP999999_999999, MESSAGING_SYSTEM_SERVICE_720_SP003_000000, MESSAGING_SYSTEM_SERVICE_720_SP999999_999999, XI_ADAPTER_FRAMEWORK_710_SP010_000000, XI_ADAPTER_FRAMEWORK_710_SP999999_999999, XI_ADAPTER_FRAMEWORK_711_SP005_000000, XI_ADAPTER_FRAMEWORK_711_SP999999_999999, XI_ADAPTER_FRAMEWORK_720_SP003_000000, XI_ADAPTER_FRAMEWORK_720_SP999999_999999, XI_ADAPTER_FRAMEWORK_CORE_30_SP027_000000, XI_ADAPTER_FRAMEWORK_CORE_30_SP999999_999999, XI_ADAPTER_FRAMEWORK_CORE_700_SP022_000000, XI_ADAPTER_FRAMEWORK_CORE_700_SP999999_999999, XI_ADAPTER_FRAMEWORK_CORE_701_SP007_000000, XI_ADAPTER_FRAMEWORK_CORE_701_SP999999_999999, XI_ADAPTER_FRAMEWORK_CORE_702_SP004_000000, XI_ADAPTER_FRAMEWORK_CORE_702_SP005_000000, XI_ADAPTER_FRAMEWORK_CORE_702_SP999999_999999)
Описание
Соответствие стандарту
В данном бюллетене представлены средства/исправления, помогающие защитить от злоумышленников конфиденциальную бизнес-информацию и учетные данные пользователей.
- Защита конфиденциальной бизнес-информации.
Просмотр содержимого в мониторе системы обмена сообщениями защищен веб-ролью (действие UME) "content" приложения com.sap.aii.af.ms.app. Ранее, любой обладатель стандартной роли пользователя монитора мог просмотреть не только заголовки сообщений, но и сами сообщения, в которых могла содержаться конфиденциальная бизнес-информация.
- Защита учетных данных.
HTTP-заголовок авторизации не сохраняется в сообщении. Ранее, все HTTP-заголовки, включая заголовки аутентификации, сохранялись, позволяя получить информацию об учетных данных пользователя.
В данном бюллетене представлены средства/исправления, помогающие защитить от злоумышленников конфиденциальную бизнес-информацию и учетные данные пользователей.
- Защита конфиденциальной бизнес-информации.
Просмотр содержимого в мониторе системы обмена сообщениями защищен веб-ролью (действие UME) "content" приложения com.sap.aii.af.ms.app. Ранее, любой обладатель стандартной роли пользователя монитора мог просмотреть не только заголовки сообщений, но и сами сообщения, в которых могла содержаться конфиденциальная бизнес-информация.
- Защита учетных данных.
HTTP-заголовок авторизации не сохраняется в сообщении. Ранее, все HTTP-заголовки, включая заголовки аутентификации, сохранялись, позволяя получить информацию об учетных данных пользователя.
Как исправить
Для получения информации о соответствующей версии пакета обновлений внимательно изучите данный бюллетень.
Ссылки