• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1560606 - Отсутствует проверка полномочий в UME Access Control List API

Главная Специалистам База уязвимостей Note 1560606 - Отсутствует проверка полномочий в UME Access Control List API

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1560606-2) SAP Support Packages (ATS_TESTS_ENGINE_720_SP005_000000, ATS_TESTS_ENGINE_720_SP999999_999999, ATS_TESTS_ENGINE_730_SP003_000000, ATS_TESTS_ENGINE_730_SP999999_999999, J2EE_ENGINE_SERVERCORE_710_SP012_000004, J2EE_ENGINE_SERVERCORE_710_SP013_000000, J2EE_ENGINE_SERVERCORE_710_SP999999_999999, J2EE_ENGINE_SERVERCORE_711_SP007_000002, J2EE_ENGINE_SERVERCORE_711_SP008_000000, J2EE_ENGINE_SERVERCORE_711_SP999999_999999, J2EE_ENGINE_SERVERCORE_720_SP002_000023, J2EE_ENGINE_SERVERCORE_720_SP003_000033, J2EE_ENGINE_SERVERCORE_720_SP004_000021, J2EE_ENGINE_SERVERCORE_720_SP005_000000, J2EE_ENGINE_SERVERCORE_720_SP999999_999999, J2EE_ENGINE_SERVERCORE_730_SP001_000006, J2EE_ENGINE_SERVERCORE_730_SP002_000006, J2EE_ENGINE_SERVERCORE_730_SP003_000000, J2EE_ENGINE_SERVERCORE_730_SP999999_999999, SAP_J2EE_ENGINE_640_SP028_000003, SAP_J2EE_ENGINE_640_SP999999_999999, SAP_J2EE_ENGINE_CORE_640_SP029_000000, SAP_J2EE_ENGINE_CORE_640_SP999999_999999, SAP_J2EE_ENGINE_CORE_700_SP025_000001, SAP_J2EE_ENGINE_CORE_700_SP026_000000, SAP_J2EE_ENGINE_CORE_700_SP999999_999999, SAP_J2EE_ENGINE_CORE_701_SP010_000001, SAP_J2EE_ENGINE_CORE_701_SP011_000000, SAP_J2EE_ENGINE_CORE_701_SP999999_999999, SAP_J2EE_ENGINE_CORE_702_SP009_000002, SAP_J2EE_ENGINE_CORE_702_SP010_000000, SAP_J2EE_ENGINE_CORE_702_SP999999_999999)
Описание
В UME Access Control List API отсутствуют проверки полномочий пользователей, прошедших аутентификацию, на право доступа к некоторым из его функций. Это может оказать нежелательное воздействие на работу системы.
Как исправить
Реализуйте последние исправления
SERVERCORE.SCA (для версий 7.10 и выше)
SAP-JEECOR.SCA (для версий 6.40 и 7.0)
SAP-JEE.SCA (для версий ниже 6.40),
соответствующие вашему продукту, и пакет обновлений из SAP Service Marketplace.

Также существует решение, которое может быть реализовано через приложения, использующие User Management Engine ACL API.

Согласно описанию API, при вызове метода, который управляет списком контроля доступа (ACL), например, его изменением, принципал вызывающего должен быть владельцем данного ACL. Подобная проверка отсутствует.
Однако, приложение может использовать свою собственную проверку владельца ACL до вызова метода интерфейса, изменяющего или удаляющего ACL.
Ссылки