Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/AU:S/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
SAP Notes
(1576763-2)
SAP Support Packages
(SAPKB46C63, SAPKB62071, SAPKB64029, SAPKB70026, SAPKB70111, SAPKB70210, SAPKB71014, SAPKB71109, SAPKB72007, SAPKB73005, SAPKB73101)
Описание
Доступ к пользовательским данным может быть получен при помощи SAP Application Server ABAP. Данная информация может быть использована злоумышленниками для организации атак на сервер приложений ABAP, а также продукты на его основе.
Как исправить
Необходимо применить пакет поддержки из данного бюллетеня или соответствующую инструкцию по исправлению ошибок.
Для версий до 730, исправлением безопасности является значение INACTIVE, которое должно устанавливаться параметром профиля экземпляра
rdisp/auth_check_user_list = TRUE
В противном случае, исправление не будет действовать. Что касается версии 731, то исправлением является значение ACTIVE, которое может быть снято (DEACTIVATED), при необходимости (не рекомендуется), при помощи следующей настройки
rdisp/auth_check_user_list = FALSE
При активированном исправлении, функциональный модуль TH_USER_LIST может быть запущен только при помощи удаленного вызова функций (RFC) из удаленной системы (не экземпляра), если предоставлен объект полномочий S_RZL_ADM с идентификатором 'ACTVT' в поле '03'.
Для версий до 730, исправлением безопасности является значение INACTIVE, которое должно устанавливаться параметром профиля экземпляра
rdisp/auth_check_user_list = TRUE
В противном случае, исправление не будет действовать. Что касается версии 731, то исправлением является значение ACTIVE, которое может быть снято (DEACTIVATED), при необходимости (не рекомендуется), при помощи следующей настройки
rdisp/auth_check_user_list = FALSE
При активированном исправлении, функциональный модуль TH_USER_LIST может быть запущен только при помощи удаленного вызова функций (RFC) из удаленной системы (не экземпляра), если предоставлен объект полномочий S_RZL_ADM с идентификатором 'ACTVT' в поле '03'.
Ссылки