• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1580241 - Небезопасные настройки загрузки файлов, устанавливаемые по умолчанию для LOD-ESO-AS

Главная Специалистам База уязвимостей Note 1580241 - Небезопасные настройки загрузки файлов, устанавливаемые по умолчанию для LOD-ESO-AS

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1580241-5)
Описание
Документы могут быть загружены в программу в качестве различных приложений (attachments). По умолчанию, фильтрация по типу файлов отсутствует. Без соответствующей фильтрации, в систему могут быть загружены файлы с вредоносным содержимым.
Как исправить
Для устранения уязвимости необходимо, используя настройки системы, создать "белый список" загружаемых файлов. Ниже представлены настройки для каждого типа развертывания системы. Настройки не зависят от версии ПО.

On Premise:
Примечание: Вновь установленные версии 7.0 и выше будут иметь набор значений по умолчанию. Необходимо проверить и обновить настройки в соответствиями с требованиями. Более ранние версии и обновления (до версии 7.0) необходимо настроить следующим образом:

Свойства:
attachments.attachments.upload.file.extension_list

Значение: doc; docx; xls; xlsx; csv; pdf; xml; tif; zip; rar; rtf; gif; jpeg; jpg; bmp; tsv; xlt; xltx; xlsm; xpdl; pptm; ppt; pptx; txt; png; pps; wmv; oma

Свойства:
attachment.attachments.upload.file.extension_list_permitted
Значение:
TRUE

On Demand:
Выше указанные действия должны быть выполнены размещающей стороной. Дополнительные действия со стороны пользователя не требуются.
Ссылки