• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1560334 - Получение доступа к хранимым данным в базе данных

Главная Специалистам База уязвимостей Note 1560334 - Получение доступа к хранимым данным в базе данных

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1560334-7)
Описание
Данная уязвимость существует из-за возможности внедрения SQL-кода. В состав кода входит SQL-выражение, содержащее строки, которые могут быть изменены злоумышленником. Сформированное злоумышленником SQL-выражение может быть использовано для получения информации из базы данных.

Отчет RSORADJV позволяет выполнять SQL-запросы на просмотр информации о работе Oracle. Он разрешает доступ к базе данных только для чтения, без возможности изменения данных. Однако, существует возможность просмотра данных приложения.

Остальные отчеты (см. список ниже) являются частью транзакций мониторинга ST04 и DB02. При выполнении по отдельности, эти отчеты отображают структурную информацию (например, размер, количество табличных строк и т.п.) об объектах базы данных.
Как исправить
Отчеты ABAP
RSORA100
RSORA820
RSORACMP
RSORAOPS
RSORAINI
RSORATB1
RSORATB2
RSORATB3
RSORATC2
RSORATC6
RSORATC8
RSORADJV
удаляются после реализации бюллетеня 1523173, начиная с SAP Basis Release 7.00.

Для систем SAP с более ранними версиями Basis Release, необходимо внимательнее относиться к назначению пользователям ролей, разрешающих объект полномочий S_ADMI_FCD.



------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_BASIS SAP Basis compo...|
| Версия 700 SAPKB70008 - SAPKB70023 |
------------------------------------------------------------------------

Отчеты ABAP
RSORA100
RSORA820
RSORACMP
RSORAOPS
RSORAINI
RSORATB1
RSORATB2
RSORATB3
RSORATC2
RSORATC6
RSORATC8
RSORADJV
удаляются после реализации бюллетеня 1523173, начиная с SAP Basis Release 7.00. Для систем SAP с более ранними версиями Basis Release, необходимо внимательнее относиться к назначению пользователям ролей, разрешающих объект полномочий S_FC_ADMI.


------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_BASIS SAP Basis compo...|
| Версия 710 SAPKB71001 - SAPKB71011 |
| Версия 711 SAPKB71101 - SAPKB71106 |
| Версия 701 SAPKB70101 - SAPKB70107 |
| Версия 702 SAPKB70201 - SAPKB70206 |
| Версия 730 SAPKB73001 - SAPKB73001 |
------------------------------------------------------------------------

Отчеты ABAP
RSORA100
RSORA820
RSORACMP
RSORAOPS
RSORAINI
RSORATB1
RSORATB2
RSORATB3
RSORATC2
RSORATC6
RSORATC8
RSORADJV
удаляются после реализации бюллетеня 1523173, начиная с SAP Basis Release 7.00. Для систем SAP с более ранними версиями Basis Release, необходимо внимательнее относиться к назначению пользователям ролей, разрешающих объект полномочий S_FC_ADMI.


------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_BASIS SAP Basis compo...|
| Версия 46C Все уровни пакетов поддержки |
| Версия 620 Все уровни пакетов поддержки |
| Версия 640 Все уровни пакетов поддержки |
------------------------------------------------------------------------









Для отчетов ABAP
RSORA100
RSORA820
RSORACMP
RSORAOPS
RSORAINI
RSORATB1
RSORATB2
RSORATB3
RSORATC2
RSORATC6
RSORATC8
RSORADJV
необходимо внимательнее относиться к назначению пользователям ролей, разрешающих объект полномочий S_FC_ADMI.
Ссылки