• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1576763 - Разглашение информации, касающейся имен пользователей

Главная Специалистам База уязвимостей Note 1576763 - Разглашение информации, касающейся имен пользователей

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/AU:S/C:P/I:N/A:N)
Производитель ПО
SAP
Наименование ПО
SAP Notes (1576763-2) SAP Support Packages (SAPKB46C63, SAPKB62071, SAPKB64029, SAPKB70026, SAPKB70111, SAPKB70210, SAPKB71014, SAPKB71109, SAPKB72007, SAPKB73005, SAPKB73101)
Описание
Доступ к пользовательским данным может быть получен при помощи SAP Application Server ABAP. Данная информация может быть использована злоумышленниками для организации атак на сервер приложений ABAP, а также продукты на его основе.
Как исправить
Необходимо применить пакет поддержки из данного бюллетеня или соответствующую инструкцию по исправлению ошибок.
Для версий до 730, исправлением безопасности является значение INACTIVE, которое должно устанавливаться параметром профиля экземпляра
rdisp/auth_check_user_list = TRUE
В противном случае, исправление не будет действовать. Что касается версии 731, то исправлением является значение ACTIVE, которое может быть снято (DEACTIVATED), при необходимости (не рекомендуется), при помощи следующей настройки
rdisp/auth_check_user_list = FALSE
При активированном исправлении, функциональный модуль TH_USER_LIST может быть запущен только при помощи удаленного вызова функций (RFC) из удаленной системы (не экземпляра), если предоставлен объект полномочий S_RZL_ADM с идентификатором 'ACTVT' в поле '03'.
Ссылки