Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1510091-3)
SAP Support Packages
(XMII_120_SP012_000000, XMII_120_SP999999_999999, XMII_121_SP005_000000, XMII_121_SP008_000000, XMII_121_SP999999_999999)
Описание
MII выполняет функцию смены состояния, ссылаясь на URL-адреса. При определенных условиях, неавторизованный и не прошедший аутентификацию пользователь может выполнить данные действия от лица авторизованного пользователя, прошедшего аутентификацию, уведомление и/или согласие которого не потребуется.
Как исправить
Необходимо принять меры по устранению межсайтовой подмены запросов в веб-приложениях. Необходимо убедиться, что для выполнения операций смены состояния данные приложения используют не только учетные данные или токены, передаваемые браузером автоматически. Общим решением проблемы является включение в каждый запрос специального токена, действительного только во время текущей пользовательской сессии и ассоциированного с ней.
Безопасность SAP NetWeaver Application Server Java (AS Java) была повышена с помощью XSRF Protection Framework (защиты от межсайтовой подмены запросов). Установив Framework, вы обеспечите безопасный доступ к веб-приложениям, основанный на использовании токенов. В данный бюллетень включена защита от межсайтовой подмены запросов (XSRF Protection Framework) для [НАЗВАНИЕ ПРИЛОЖЕНИЯ]
XSRF Protection Framework в SAP доступна для некоторых версий SAP NetWeaver. Дополнительную информацию о доступности см. в бюллетене 1450166. Чтобы включить защиту от межсайтовой подмены запросов для [НАЗВАНИЕ ПРИЛОЖЕНИЯ], необходимо установить указанный выше бюллетень перед выполнением действий, описанных в данном бюллетене. Более того, для полного понимания механизма защиты, необходимо обратиться к SAP XSRF Protection Guide (Руководству по обеспечению защиты SAP от межстайтовой подмены запросов), прилагающемуся к бюллетеню 1450166.
После ознакомления с указанным выше документом, направленные на защиту MII.
СТАНДАРТНАЯ НАСТРОЙКА MII
----------------------------------------
1) Защита от межсайтовой подмены запросов для MII включает в себя стандартные методы (дополнительную информацию см. в руководстве по обеспечению защиты).
2) Скопируйте файл 'xsrf-config.xml', прилагающийся к данному бюллетеню, в каталог приложения '/WEB-INF'.
3) Замените JSP-файлы приложения на файлы, прилагающиеся к данному бюллетеню. Безопасность страниц была повышена путем добавления токенов (как дополнительный параметр в URL либо используя скрытое поле ввода) к действиям, влияющим на состояние.
Изменениям подверглись следующие JSP-страницы SAP MII:
Admin/BackupRestore.jsp
Admin/ConnectionStore.jsp
Admin/ContentList.jsp
Admin/ContentObject.jsp
Admin/CredentialStore.jsp
Admin/CustomActionsUpload.jsp
Admin/CustomActionsView.jsp
Admin/CustomAttributeEdit.jsp
Admin/CustomAttributeMap.jsp
Admin/DataBufferEntry.jsp
Admin/EncryptionConfiguration.jsp
Admin/FontUpload.jsp
Admin/FontView.jsp
Admin/ImportProject.jsp
Admin/JDBCDriverUpload.jsp
Admin/JDBCDriverView.jsp
Admin/Localization.jsp
Admin/ManageProjects.jsp
Admin/NavigationEditor.jsp
Admin/NavigationElement.jsp
Admin/NewServer.jsp
Admin/PermissionEditor.jsp
Admin/Server.jsp
Admin/ServerList.jsp
Admin/SharedMemory.jsp
Admin/SharedMemoryValue.jsp
Admin/ShiftSchedule.jsp
Admin/ShiftScheduleList.jsp
Admin/SimulatorEditor.jsp
Admin/SystemProperties.jsp
Admin/TimePeriod.jsp
Admin/TimePeriodList.jsp
Admin/TransactionManager.jsp
Admin/TransactionManagerTerminate.jsp
CM/import.jsp
JCO/ConfigTrace.jsp
JCO/JCoMessageCleanup.jsp
JCO/JCoMessageCleanupDisplay.jsp
JCO/JCoMessageCleanupEditor.jsp
JCO/JCoMessageMonitor.jsp
JCO/JCoMessageMonitorDisplay.jsp
JCO/JCoProcRuleEditor.jsp
JCO/JCoProcRuleList.jsp
JCO/RoutingRulesList.jsp
JCO/ServerAdmin.jsp
JCO/ServerList.jsp
Scheduler/entry.jsp
Scheduler/entrylist.jsp
Scheduler/history.jsp
Scheduler/pattern.jsp
Scheduler/schedule.jsp
SourceControl/DevelopmentConfigurationList.jsp
SourceControl/NWDIUserConfiguration.jsp
goService.jsp
4) В связи с тем, что вышеперечисленные JSP-страницы подверглись изменениям (по техническим условиям заказчика), необходимо вручную добавить токены к действиям, влияющим на состояние, иначе изменения будут утеряны.
5) Если были добавлены страницы, содержащие меняющие состояние действия (либо меняющие состояние действия были добавлены на существующе страницы), необходимо вручную включить защиту от межсайтовой подмены запросов.
a. Необходимо произвести настройку дополнительных действий, меняющих состояние в AS Java, используя файл 'xsrf-config.xml'. Дополнительную информацию см. в Руководстве по обеспечению защиты (Protection Guide).
b. Для добавления токенов необходимо использовать дополнительный параметр в URL либо скрытое поле ввода. Дополнительную информацию см. в Руководстве по обеспечению защиты (Protection Guide).
Безопасность SAP NetWeaver Application Server Java (AS Java) была повышена с помощью XSRF Protection Framework (защиты от межсайтовой подмены запросов). Установив Framework, вы обеспечите безопасный доступ к веб-приложениям, основанный на использовании токенов. В данный бюллетень включена защита от межсайтовой подмены запросов (XSRF Protection Framework) для [НАЗВАНИЕ ПРИЛОЖЕНИЯ]
XSRF Protection Framework в SAP доступна для некоторых версий SAP NetWeaver. Дополнительную информацию о доступности см. в бюллетене 1450166. Чтобы включить защиту от межсайтовой подмены запросов для [НАЗВАНИЕ ПРИЛОЖЕНИЯ], необходимо установить указанный выше бюллетень перед выполнением действий, описанных в данном бюллетене. Более того, для полного понимания механизма защиты, необходимо обратиться к SAP XSRF Protection Guide (Руководству по обеспечению защиты SAP от межстайтовой подмены запросов), прилагающемуся к бюллетеню 1450166.
После ознакомления с указанным выше документом, направленные на защиту MII.
СТАНДАРТНАЯ НАСТРОЙКА MII
----------------------------------------
1) Защита от межсайтовой подмены запросов для MII включает в себя стандартные методы (дополнительную информацию см. в руководстве по обеспечению защиты).
2) Скопируйте файл 'xsrf-config.xml', прилагающийся к данному бюллетеню, в каталог приложения '/WEB-INF'.
3) Замените JSP-файлы приложения на файлы, прилагающиеся к данному бюллетеню. Безопасность страниц была повышена путем добавления токенов (как дополнительный параметр в URL либо используя скрытое поле ввода) к действиям, влияющим на состояние.
Изменениям подверглись следующие JSP-страницы SAP MII:
Admin/BackupRestore.jsp
Admin/ConnectionStore.jsp
Admin/ContentList.jsp
Admin/ContentObject.jsp
Admin/CredentialStore.jsp
Admin/CustomActionsUpload.jsp
Admin/CustomActionsView.jsp
Admin/CustomAttributeEdit.jsp
Admin/CustomAttributeMap.jsp
Admin/DataBufferEntry.jsp
Admin/EncryptionConfiguration.jsp
Admin/FontUpload.jsp
Admin/FontView.jsp
Admin/ImportProject.jsp
Admin/JDBCDriverUpload.jsp
Admin/JDBCDriverView.jsp
Admin/Localization.jsp
Admin/ManageProjects.jsp
Admin/NavigationEditor.jsp
Admin/NavigationElement.jsp
Admin/NewServer.jsp
Admin/PermissionEditor.jsp
Admin/Server.jsp
Admin/ServerList.jsp
Admin/SharedMemory.jsp
Admin/SharedMemoryValue.jsp
Admin/ShiftSchedule.jsp
Admin/ShiftScheduleList.jsp
Admin/SimulatorEditor.jsp
Admin/SystemProperties.jsp
Admin/TimePeriod.jsp
Admin/TimePeriodList.jsp
Admin/TransactionManager.jsp
Admin/TransactionManagerTerminate.jsp
CM/import.jsp
JCO/ConfigTrace.jsp
JCO/JCoMessageCleanup.jsp
JCO/JCoMessageCleanupDisplay.jsp
JCO/JCoMessageCleanupEditor.jsp
JCO/JCoMessageMonitor.jsp
JCO/JCoMessageMonitorDisplay.jsp
JCO/JCoProcRuleEditor.jsp
JCO/JCoProcRuleList.jsp
JCO/RoutingRulesList.jsp
JCO/ServerAdmin.jsp
JCO/ServerList.jsp
Scheduler/entry.jsp
Scheduler/entrylist.jsp
Scheduler/history.jsp
Scheduler/pattern.jsp
Scheduler/schedule.jsp
SourceControl/DevelopmentConfigurationList.jsp
SourceControl/NWDIUserConfiguration.jsp
goService.jsp
4) В связи с тем, что вышеперечисленные JSP-страницы подверглись изменениям (по техническим условиям заказчика), необходимо вручную добавить токены к действиям, влияющим на состояние, иначе изменения будут утеряны.
5) Если были добавлены страницы, содержащие меняющие состояние действия (либо меняющие состояние действия были добавлены на существующе страницы), необходимо вручную включить защиту от межсайтовой подмены запросов.
a. Необходимо произвести настройку дополнительных действий, меняющих состояние в AS Java, используя файл 'xsrf-config.xml'. Дополнительную информацию см. в Руководстве по обеспечению защиты (Protection Guide).
b. Для добавления токенов необходимо использовать дополнительный параметр в URL либо скрытое поле ввода. Дополнительную информацию см. в Руководстве по обеспечению защиты (Protection Guide).
Ссылки