Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1580241-5)
Описание
Документы могут быть загружены в программу в качестве различных приложений (attachments). По умолчанию, фильтрация по типу файлов отсутствует. Без соответствующей фильтрации, в систему могут быть загружены файлы с вредоносным содержимым.
Как исправить
Для устранения уязвимости необходимо, используя настройки системы, создать "белый список" загружаемых файлов. Ниже представлены настройки для каждого типа развертывания системы. Настройки не зависят от версии ПО.
On Premise:
Примечание: Вновь установленные версии 7.0 и выше будут иметь набор значений по умолчанию. Необходимо проверить и обновить настройки в соответствиями с требованиями. Более ранние версии и обновления (до версии 7.0) необходимо настроить следующим образом:
Свойства:
attachments.attachments.upload.file.extension_list
Значение: doc; docx; xls; xlsx; csv; pdf; xml; tif; zip; rar; rtf; gif; jpeg; jpg; bmp; tsv; xlt; xltx; xlsm; xpdl; pptm; ppt; pptx; txt; png; pps; wmv; oma
Свойства:
attachment.attachments.upload.file.extension_list_permitted
Значение:
TRUE
On Demand:
Выше указанные действия должны быть выполнены размещающей стороной. Дополнительные действия со стороны пользователя не требуются.
On Premise:
Примечание: Вновь установленные версии 7.0 и выше будут иметь набор значений по умолчанию. Необходимо проверить и обновить настройки в соответствиями с требованиями. Более ранние версии и обновления (до версии 7.0) необходимо настроить следующим образом:
Свойства:
attachments.attachments.upload.file.extension_list
Значение: doc; docx; xls; xlsx; csv; pdf; xml; tif; zip; rar; rtf; gif; jpeg; jpg; bmp; tsv; xlt; xltx; xlsm; xpdl; pptm; ppt; pptx; txt; png; pps; wmv; oma
Свойства:
attachment.attachments.upload.file.extension_list_permitted
Значение:
TRUE
On Demand:
Выше указанные действия должны быть выполнены размещающей стороной. Дополнительные действия со стороны пользователя не требуются.
Ссылки