Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1566528-1)
SAP Support Packages
(SAPK-60020INISM, SAPK-60210INISM, SAPK-60309INISM, SAPK-60410INISM, SAPK-60505INISM, SAPKIPPL35, SAPKIPPM27, SAPKIPPN21)
Описание
Программы из инструкций по исправлению ошибок содержат уязвимости, позволяющие злоумышленникам просматривать произвольные файлы на удаленном сервере, получая таким образом доступ к конфиденциальной информации.
Некоторые программы из инструкций по исправлению ошибок содержат уязвимость, которая позволяет злоумышленникам записывать произвольные файлы на удаленный сервер, повреждая тем самым данные или изменяя поведение системы.
Некоторые программы из инструкций по исправлению ошибок содержат уязвимость, которая позволяет злоумышленникам записывать произвольные файлы на удаленный сервер, повреждая тем самым данные или изменяя поведение системы.
Как исправить
Дополнительную информацию и инструкции см. в бюллетенях 1497003 и 1605703. Для реализации данного бюллетеня необходимо внести исправления, указанные в бюллетене 1497003.
После реализации инструкций по исправлению ошибок из бюллетеня 1605703 необходимо запустить программу RSFILECR. Данная программа создает перечисленные ниже логические имена файлов и вносит изменения в транспортный запрос.
Следующие логические имена файлов, использованные в данном решении, были созданы для проверки достоверности физических имен файлов:
Логическое имя файла Отчет
ISM_GROUP_BANK_DATA_EXCHANGE_IN RJGBDC_FILE_PROCESS
ISM_GROUP_BANK_DATA_EXCHANGE_OUT RJGBDC_FILE_CREATE
ISM_GROUP_BANK_REVERSAL_IN RJFBRBI0
ISM_GROUP_BP_TRANSFER_IN RJGAUF00, RJGFTRSF
ISM_GROUP_BP_TRANSFER_ERR RJGAUF00, RJGFTRSF
ISM_GROUP_BP_CLASSIFICATION RJGCLZUO
ISM_GROUP_CH_BRV J_1SBRV1
ISM_GROUP_CH_FS_IN J_1SFS01
ISM_GROUP_CH_FS_OUT J_1SFS01
ISM_GROUP_CH_MEV J_1SMEV1
ISM_GROUP_CH_PTT_ZEBU J_1SZEB1
ISM_GROUP_DBP_ALL_DAT RJSPOSTCHECK, RJSSTRVERWVORG
ISM_GROUP_EDS_OUT RJVEDS01, RJVEDS02
ISM_GROUP_MAM_CONTRACT_TRANSFER_IN RJHADU02
ISM_GROUP_MAM_CP_CLASSIFICATION RJHCLZAP
ISM_GROUP_MAM_ORDER_TRANSFER_IN RJHADU01, RJHADU03, RJHADU04
ISM_GROUP_MAM_ORDER_TECH_SYS_OUT RJHOLEXP, RJHOLEXP_A
ISM_GROUP_MAM_COMMERCIAL_DISPO_OUT RJHDPEXP
ISM_GROUP_MSD_CARRIER_ROUTE_TRANSFER_IN RJLZBZ10
ISM_GROUP_MSD_ISPC_REMI_IN RJKUJKR5
ISM_GROUP_MSD_ORDER_TRANSFER_IN RJKFTRSF
ISM_GROUP_MSD_ORDER_CHANGES_TRANSFER_IN RJKBJK01
ISM_GROUP_MSD_ORDER_LIAB_TRANSFER_IN RJKRGOLIVE
ISM_GROUP_MSD_SHIPORDER_DELTA_IMP RJVSO_IMPORT_DELTA
ISM_GROUP_MSD_SHIPORDER_EXP RJVSO_EXPORT
ISM_GROUP_MSD_SHIPORDER_FULL_IMP RJVSO_IMPORT_FULL
ISM_GROUP_WBZ_IN RJKWBZ01, RJKWBZ02
ISM_GROUP_WBZ_ERR RJKWBZ02
ISM_GROUP_WBZ_KUNDENNUMMERNAUSTAUSCH_IN RJKWBZ04
ISM_GROUP_WBZ_OUT RJKWBZ10, RJKWBZ12
ISM_GROUP_ZEBU_IN RJVZEBU1
Данное решение для уязвимых программ версии ISM 604 содержит следующие логические имена файлов, созданные для проверки достоверности физических имен файлов:
Логическое имя файла Отчет
/NAM/_GROUP_BULK_ORDER_IN /NAM/BULK_ORDER_DATA_IMPORT
После реализации инструкций по исправлению ошибок из бюллетеня 1605703 необходимо запустить программу RSFILECR. Данная программа создает перечисленные ниже логические имена файлов и вносит изменения в транспортный запрос.
Следующие логические имена файлов, использованные в данном решении, были созданы для проверки достоверности физических имен файлов:
Логическое имя файла Отчет
ISM_GROUP_BANK_DATA_EXCHANGE_IN RJGBDC_FILE_PROCESS
ISM_GROUP_BANK_DATA_EXCHANGE_OUT RJGBDC_FILE_CREATE
ISM_GROUP_BANK_REVERSAL_IN RJFBRBI0
ISM_GROUP_BP_TRANSFER_IN RJGAUF00, RJGFTRSF
ISM_GROUP_BP_TRANSFER_ERR RJGAUF00, RJGFTRSF
ISM_GROUP_BP_CLASSIFICATION RJGCLZUO
ISM_GROUP_CH_BRV J_1SBRV1
ISM_GROUP_CH_FS_IN J_1SFS01
ISM_GROUP_CH_FS_OUT J_1SFS01
ISM_GROUP_CH_MEV J_1SMEV1
ISM_GROUP_CH_PTT_ZEBU J_1SZEB1
ISM_GROUP_DBP_ALL_DAT RJSPOSTCHECK, RJSSTRVERWVORG
ISM_GROUP_EDS_OUT RJVEDS01, RJVEDS02
ISM_GROUP_MAM_CONTRACT_TRANSFER_IN RJHADU02
ISM_GROUP_MAM_CP_CLASSIFICATION RJHCLZAP
ISM_GROUP_MAM_ORDER_TRANSFER_IN RJHADU01, RJHADU03, RJHADU04
ISM_GROUP_MAM_ORDER_TECH_SYS_OUT RJHOLEXP, RJHOLEXP_A
ISM_GROUP_MAM_COMMERCIAL_DISPO_OUT RJHDPEXP
ISM_GROUP_MSD_CARRIER_ROUTE_TRANSFER_IN RJLZBZ10
ISM_GROUP_MSD_ISPC_REMI_IN RJKUJKR5
ISM_GROUP_MSD_ORDER_TRANSFER_IN RJKFTRSF
ISM_GROUP_MSD_ORDER_CHANGES_TRANSFER_IN RJKBJK01
ISM_GROUP_MSD_ORDER_LIAB_TRANSFER_IN RJKRGOLIVE
ISM_GROUP_MSD_SHIPORDER_DELTA_IMP RJVSO_IMPORT_DELTA
ISM_GROUP_MSD_SHIPORDER_EXP RJVSO_EXPORT
ISM_GROUP_MSD_SHIPORDER_FULL_IMP RJVSO_IMPORT_FULL
ISM_GROUP_WBZ_IN RJKWBZ01, RJKWBZ02
ISM_GROUP_WBZ_ERR RJKWBZ02
ISM_GROUP_WBZ_KUNDENNUMMERNAUSTAUSCH_IN RJKWBZ04
ISM_GROUP_WBZ_OUT RJKWBZ10, RJKWBZ12
ISM_GROUP_ZEBU_IN RJVZEBU1
Данное решение для уязвимых программ версии ISM 604 содержит следующие логические имена файлов, созданные для проверки достоверности физических имен файлов:
Логическое имя файла Отчет
/NAM/_GROUP_BULK_ORDER_IN /NAM/BULK_ORDER_DATA_IMPORT
Ссылки