• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1586718 - Несанкционированное использование функций приложений в Codepage Fct.

Главная Специалистам База уязвимостей Note 1586718 - Несанкционированное использование функций приложений в Codepage Fct.

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1586718-2) SAP Support Packages (SAPKB70025, SAPKB70110, SAPKB70209, SAPKB71013, SAPKB71108, SAPKB72006, SAPKB73004)
Описание
Codepage выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Необходимо применить пакет поддержки из данного бюллетеня или соответствующую инструкцию по исправлению ошибок вручную.
Если соответствующая служба ICF не включена, то злоумышленник не может эксплуатировать уязвимость. В этом случае нет необходимости в дополнительных настройках.



------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_BASIS SAP Basis compo...|
| Версия 700 SAPKB70004 - SAPKB70024 |
| Версия 710 до SAPKB71012 |
| Версия 711 SAPKB71101 - SAPKB71107 |
| Версия 701 до SAPKB70109 |
| Версия 702 SAPKB70201 - SAPKB70208 |
| Версия 730 до SAPKB73003 |
| Версия 720 SAPKB72002 - SAPKB72005 |
------------------------------------------------------------------------

Выполните следующие операции вручную, но только после реализации бюллетеня 1520324.

Следующим BSP-приложениям требуется настройка:
DOCX_TEST_FORMS в пакете S_OOXML_DOCX_FORM
XSLFO_MIME в пакете S_XSLFO_SUPPLEMENTARY
SCPBSPCONVERTUC в пакете SCP
Если в вашей системе отсутствует какое-либо из выше указанных BSP-приложений, то система не является уязвимой, а дополнительные действия не требуются.

Для всех 3-х BSP-приложений выполните следующее:
1. Перейдите к транзакции SE80.
2. Откройте пакет.
3. Разверните "BSP Library".
4. Разверните "BSP Applications".
5. Дважды нажмите на объект.
6. Перейдите к вкладке "Properties" ("Свойства").
7. Смените режим на "Write" ("запись").
8. Выберите "XSRF Protection" ("защита от межсайтовой подмены запросов").
9. Сохраните и примените внесенные изменения.
Для BSP-приложения SCPBSPCONVERTUC в пакете SCP необходимо также выполнить следующее:
10. После выполнения выше указанных действий разверните "SCPBSPCONVERTUC".
11. Разверните "Pages with Flow Logic".
12. Дважды нажмите на "default.htm".
13. Перейдите к вкладке "Properties" ("Свойства").
14. Смените режим на "Write" ("запись").
15. Выберите "Start BSP" ("Вкл. BSP").
16. Сохраните и примените внесенные изменения.
Ссылки