• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1567604 - Несанкционированное изменение отображаемого содержимого в BSP

Главная Специалистам База уязвимостей Note 1567604 - Несанкционированное изменение отображаемого содержимого в BSP

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1567604-3) SAP Support Packages (SAPKB64028, SAPKB70025, SAPKB70110, SAPKB70208, SAPKB71013, SAPKB71107, SAPKB72005, SAPKB73003)
Описание
Все HTTP-страницы в приложении BSP test некорректно кодируют параметры HTTP, что позволяет осуществить отраженное межсайтовое выполнение сценариев. Отраженное межсайтовое выполнение сценариев может быть использовано для временного искажения или изменения отображаемого содержимого веб-сайта.
Межсайтовое выполнение сценариев позволяет получить аутентификационные данные пользователей, например, данные, относящиеся к их текущей сессии. Злоумышленник, получивший доступ к подобной информации, может получить доступ ко всей информации с правами целевого пользователя. Если атака проводится от имени администратора, то безопасность приложения может быть полностью скомпрометирована.
Как исправить
Установите последний пакет поддержки SAP BASIS или воспользуйтесь инструкциями по исправлению ошибок вручную.



------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_BASIS SAP Basis compo...|
| Версия 640 До SAPKB64027 |
| Версия 700 До SAPKB70024 |
| Версия 710 До SAPKB71012 |
| Версия 711 До SAPKB71106 |
| Версия 701 До SAPKB70109 |
| Версия 702 До SAPKB70207 |
| Версия 730 SAPKB73001 - SAPKB73002 |
| Версия 720 До SAPKB72004 |
------------------------------------------------------------------------

Необходимо удалить следующие записи службы ICF включая все подузлы с помощью транзакции SICF:
"/sap/public/bc/sicf_login_run" и
"/sap/bc/bsp/sap/sicf_login_test".

Необходимо удалить BSP-приложение "sicf_login_test", используя транзакцию SE80.

Необходимо удалить ABAP класс "CL_ICF_SYSTEM_LOGIN_TESTER", используя транзакцию SE80. См. ниже!

Внимание:
----------
Не удаляйте класс ABAP "CL_ICF_SYSTEM_LOGIN". Данный класс используется для входа в систему!
Ссылки