• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1567128 - Несанкционированное использование функций приложений в System Login

Главная Специалистам База уязвимостей Note 1567128 - Несанкционированное использование функций приложений в System Login

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1567128-9) SAP Support Packages (SAPKB62071, SAPKB64029, SAPKB70025, SAPKB70110, SAPKB70209, SAPKB71013, SAPKB71108, SAPKB72006, SAPKB73004)
Описание
ICF System Login выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Воспользуйтесь исправлениями для программ ABAP (Рекомендуется использовать пакет поддержки вместо инструкций по исправлению ошибок).



------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_BASIS SAP Basis compo...|
| Версия 640 SAPKB64026 - SAPKB64028 |
| Версия 700 SAPKB70019 - SAPKB70024 |
| Версия 710 SAPKB71010 - SAPKB71012 |
| Версия 711 SAPKB71105 - SAPKB71107 |
| Версия 701 SAPKB70108 - SAPKB70109 |
| Версия 702 SAPKB70208 - SAPKB70208 |
| Версия 730 SAPKB73001 - SAPKB73003 |
| Версия 720 SAPKB72003 - SAPKB72005 |
------------------------------------------------------------------------

Настоятельно рекомендуется использовать пакет поддержки вместо инструкции по исправлению ошибок, так как для ее реализации необходимо внести изменения вручную.

Перед реализацией изменений кода в ABAP при помощи Modification Assistant необходимо выполнить следующие действия. В противном случае возможно возникновение ошибок компиляции. Перечисленные в бюллетене скриншоты можно найти во вкладке "Attachments".

1) Создайте элемент данных ICFAUTOLOGIN.

Элемент данных: ICFAUTOLOGIN
Описание: deactivate Login-XSRF protection (отключение защиты от межсайтовой подмены запросов во время авторизации)
Встроенный тип: Char
Длина: 1
Краткая метка: XSRF
Средняя метка: Login-XSRF
Полная метка: deactivate Login-XSRF protection (отключение защиты от межсайтовой подмены запросов во время авторизации)
Заголовок метки: deactivate Login-XSRF protection (отключение защиты от межсайтовой подмены запросов во время авторизации)

Также выполните сравнение скриншотов:
Autologin1.zip
Autologin2.zip
Autologin3.zip
Autologin4.zip

2) Добавьте документацию для элемента данных ICFAUTOLOGIN.
&DEFINITION&
Deactivate Login-XSRF protection / allow automatic login (отключение защиты от межсайтовой подмены запросов во время авторизации/разрешить автоматический вход в систему)
&USE&
Защита от межсайтовой подмены запросов во время авторизации (Login-XSRF protection) обеспечивает обработку исключительно регистрационных данных, введенных в соответствующие поля при входе в систему (поля ввода данных пользователя SAP, псевдоним и пароль соответственно). Всплывающее окно авторизации (входа) появляется, даже если регистрационные данные были предоставлены с помощью параметров URL. Авторизация с помощью параметров URL возможна, только если отключен автоматический вход в систему.
Настоятельно рекомендуется не отключать защиту от межсайтовой подмены запросов во время авторизации.
&DEPENDENCIES&

&EXAMPLE&

Также выполните сравнение скриншотов:
Autologin5_documentation.zip

3) Создайте следующие элементы данных в пакете SICF_EXT_LOGIN, если ранее они не были доступны.

Элемент данных: ICFCERTREQUEST
Описание: Certificate Request with HTTPS (Запрос на получение сертификата по протоколу HTTPS)
Встроенный тип: Char
Длина: 1
Краткая метка: Cert.
Средняя метка: Certificate (Сертификат)
Полная метка: Certificate Request with HTTPS (Запрос на получение сертификата по протоколу HTTPS)
Заголовок метки: Certificate Request/Assignment (Запрос на получение сертификата/Назначение)

Элемент данных: ICFCERTUSRLNK
Описание: Certificate Request/Assignment Only at User Request (Запрос на получение сертификата/Назначение только по запросу пользователя)
Встроенный тип: Char
Длина: 1
Краткая метка: Cert.
Средняя метка: Certificate (Сертификат)
Полная метка: Only at User Request (Только по запросу пользователя)
Заголовок метки: Certificate Request Only at User Request (Запрос на получение сертификата только по запросу пользователя)

Элемент данных: ICFCERTUSRDFLT
Описание: Default User Request (Запрос пользователя по умолчанию)
Встроенный тип: Char
Длина: 1
Краткая метка: Cert.
Средняя метка: Certificate (Сертификат)
Полная метка: Default User Request (Запрос пользователя по умолчанию)
Заголовок метки: Default User Request (Запрос пользователя по умолчанию)

Элемент данных: ICFURLCERTGET
Описание: Service for Certificate Request (Служба для запроса на получение сертификата)
Элементарный тип - домен: ICFCHAR255
Краткая метка: URL
Средняя метка: URL
Полная метка: URL for Certificate Request (URL для запроса на получение сертификата)
Заголовок метки: URL for Certificate Request (URL для запроса на получение сертификата)

Элемент данных: ICFURLCERTMAP
Описание: Service for Certificate Assignment (Служба для присвоения сертификата)
Элементарный тип - домен: ICFCHAR255
Краткая метка: URL
Средняя метка: URL
Полная метка: URL for Certificate Request (URL для запроса на получение сертификата)
Заголовок метки: URL for Certificate Request (URL для запроса на получение сертификата)

Элемент данных: ICFURLLOGINOTRLINK
Описание: Configurable Link on the Logon Page (Настраиваемая ссылка на странице входа в систему)
Элементарный тип - домен: ICFCHAR255
Краткая метка: Link (Ссылка)
Средняя метка: Link (Ссылка)
Полная метка: Link on Logon Page (Ссылка на странице входа в систему)
Заголовок метки: Configurable Link on the Logon Page (Настраиваемая ссылка на странице входа в систему)

Элемент данных: ICFLINKTARGETNEWWINDOW
Описание: Open Link in New Window (Открыть ссылку в новом окне)
Встроенный тип: Char
Длина: 1
Краткая метка: Window (Окно)
Средняя метка: New Window (Новое окно)
Полная метка: Open Link in New Window (Открыть ссылку в новом окне)
Заголовок метки: Open Link in New Window (Открыть ссылку в новом окне)


3) Измените структуру данных ICFSYSLOGPARAMS, добавьте следующие компоненты, соблюдая указанный порядок:
CERTREQUEST
CERTUSRLNK
CERTUSRDFLT
URL_CERTGET
URL_CERTMAP
HEADLNK1_URL
HEADLNK1_OTR
HEADLNK1_TAR
HEADLNK2_URL
HEADLNK2_OTR
HEADLNK2_TAR
FOOTLNK1_URL
FOOTLNK1_OTR
FOOTLNK1_TAR
FOOTLNK2_URL
FOOTLNK2_OTR
FOOTLNK2_TAR
AUTOLOGIN
Также выполните сравнение скриншотов:
Autologin6_syslogparams.zip

Внимание! Убедитесь, что структура ICFSYSLOGPARAMS не отличается от структуры,отображенной на скриншоте, в противном случае во время обновления системы могут возникнуть проблемы.
В зависимости от установленных исправлений структура может содержать дополнительные поля в конце. Если используется новая версия структуры, необходимо тщательно проверить наличие в ней всех перечисленных компонентов. Также необходимо проверить правильность порядка перечисленных выше компонентов.

4) Создайте следующее сообщение для ICF_SYSTEM_LOGIN:
402 Login via Url parameters not possible. Login cookie is missing (Авторизация с помощью параметров URL невозможна. Отсутствует авторизационный cookie).
403 Login cookie check failed. Repeat login procedure. (Проверка авторизационного cookie завершилась неудачно. Повторите процедуру авторизации).
404 Last system login (Последний вход в систему): &
405 & failed system login(s) (Вход в систему завершился неудачно)
Также выполните сравнение скриншотов:
Autologin7_message40X.zip

Примените внесенные изменения и реализуйте изменения кода в ABAP при помощи Modification Assistant.

После успешного внесения исправлений на станице настройки системной авторизации в транзакции SICF появится новая запись "включить/отключить защиту от межсайтовой подмены запросов". Значение по умолчанию зависит от версии системы. Во избежание несовместимости, в системах более ранних версий защита от межсайтовой подмены запросов отключена по умолчанию, в то время как в системах поздних версий она включена.
Ссылки