Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1536158-2)
SAP Support Packages
(ENGINEAPI_710_SP009_000009, ENGINEAPI_710_SP010_000007, ENGINEAPI_710_SP011_000005, ENGINEAPI_710_SP012_000000, ENGINEAPI_710_SP999999_999999, ENGINEAPI_711_SP004_000012, ENGINEAPI_711_SP005_000008, ENGINEAPI_711_SP006_000002, ENGINEAPI_711_SP007_000000, ENGINEAPI_711_SP999999_999999, ENGINEAPI_720_SP001_000008, ENGINEAPI_720_SP002_000010, ENGINEAPI_720_SP003_000008, ENGINEAPI_720_SP004_000002, ENGINEAPI_720_SP005_000000, ENGINEAPI_720_SP999999_999999, ENGINEAPI_730_SP001_000002, ENGINEAPI_730_SP002_000000, ENGINEAPI_730_SP003_000000, ENGINEAPI_730_SP999999_999999)
Описание
Программная ошибка приводит к следующим последствиям. Два и более ограничения безопасности устанавливаются для одного URL-адреса. Одно из них регулирует анонимный доступ для некоторых методов HTTP, другое - доступ для методов HTTP в зависимости от роли пользователя.
Например:
<servlet-mapping>
<servlet-name>test</servlet-name>
<url-pattern>/test</url-pattern>
</servlet-mapping>
<!--
Allow GET to anybody.
-->
<security-constraint>
<web-resource-collection>
<web-resource-name>Protected area 1</web-resource-name>
<url-pattern>/test/*</url-pattern>
<http-method>GET</http-method>
</web-resource-collection>
</security-constraint>
<!--
Allow all other methods to some-role.
-->
<security-constraint>
<web-resource-collection>
<web-resource-name>Protected area 2</web-resource-name>
<url-pattern>/test/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>some-role</role-name>
</auth-constraint>
</security-constraint>
После установки приложения невозможен анонимный доступ к ресурсу для методов, определенных в первом ограничении безопасности.
Например:
<servlet-mapping>
<servlet-name>test</servlet-name>
<url-pattern>/test</url-pattern>
</servlet-mapping>
<!--
Allow GET to anybody.
-->
<security-constraint>
<web-resource-collection>
<web-resource-name>Protected area 1</web-resource-name>
<url-pattern>/test/*</url-pattern>
<http-method>GET</http-method>
</web-resource-collection>
</security-constraint>
<!--
Allow all other methods to some-role.
-->
<security-constraint>
<web-resource-collection>
<web-resource-name>Protected area 2</web-resource-name>
<url-pattern>/test/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>some-role</role-name>
</auth-constraint>
</security-constraint>
После установки приложения невозможен анонимный доступ к ресурсу для методов, определенных в первом ограничении безопасности.
Как исправить
Установите последнее исправление ENGINEAPI.sca, используя соответствующий пакет поддержки.
Ссылки