• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1577354 - Злоумышленник может получить административный доступ к базе данных

Главная Специалистам База уязвимостей Note 1577354 - Злоумышленник может получить административный доступ к базе данных

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1577354-2) SAP Support Packages (SAPKB62070, SAPKB64028, SAPKB70025, SAPKB70110, SAPKB70208, SAPKB71013, SAPKB71108, SAPKB72006, SAPKB73003)
Описание
Данная уязвимость существует из-за возможности внедрения SQL-кода. В состав кода входит SQL-выражение, содержащее строки, которые могут быть изменены злоумышленником. Сформированное злоумышленником SQL-выражение может быть использовано для получения дополнительной информации из базы данных или ее изменения.
Как исправить
Воспользуйтесь инструкциями по исправлению ошибок, прилагаемыми к данному бюллетеню, и создайте сообщение 0Q 150, следуя иснтрукциям "manual post-implementation" ("выполняется после установки и вручную"). Если в вашей системе используется компонент 6.40 SAP_BASIS (например, ECC 5.0), необходимо создать второе сообщение (0Q 104).
Если в вашей системе используется устаревшая версия пакетов поддержки для SAP_BASIS (7.0 SP12 и старше либо 7.10 SP2 и старше) автоматическое применение инструкций по исправлению ошибок выполняться не будет. Также необходимо вручную выполнить коррекцию исходного кода или ограничить доступ к транзакциям монитора базы данных в SQL Server.
Монитор базы данных SAP является очень мощным приложением. Доступ к кодам транзакций приложения должны иметь только системные администраторы и персонал, отвечающий за настройку системы. В большинстве организаций такие сотрудники имеют прямой доступ к базе данных. Если в вашей организации доступ к базе данных имеют только администраторы, то уязвимость описанная в данном бюллетене не представляет дополнительной угрозы для вашей системы.




------------------------------------------------------------------------
|Выполняется после установки и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_BASIS SAP Basis compo...|
| Версия 620 До SAPKB62069 |
| Версия 640 До SAPKB64027 |
| Версия 700 До SAPKB70024 |
| Версия 710 До SAPKB71012 |
| Версия 711 До SAPKB71107 |
| Версия 701 До SAPKB70109 |
| Версия 702 До SAPKB70207 |
| Версия 730 SAPKB73001 - SAPKB73002 |
| Версия 720 До SAPKB72005 |
------------------------------------------------------------------------



Создайте новое сообщение, выполнив следующее:
Перейдите к транзакции SE91
Введите класс сообщения 0Q, номер сообщения 150 и нажмите "сhange" ("изменить")
Введите следующий текст и сохраните изменения:
Parameter &1 contains an illegal special character (Параметр &1 содержит недопустимый специальный символ)



------------------------------------------------------------------------
|Выполняется после установки и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_BASIS SAP Basis compo...|
| Версия 640 До SAPKB64027 |
------------------------------------------------------------------------

Создайте новое сообщение, выполнив следующее:
Перейдите к транзакции SE91
Введите класс сообщения 0Q, номер сообщения 104 и нажмите "сhange" ("изменить")
Введите следующий текст и сохраните изменения:
Schema name >&1< contains an impermissible special character (Имя схемы >&1< содержит недопустимый специальный символ)
Ссылки