• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1593433 - Несанкционированное использование функций приложений в CERTREQ и CERTMAP

Главная Специалистам База уязвимостей Note 1593433 - Несанкционированное использование функций приложений в CERTREQ и CERTMAP

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1593433-5) SAP Support Packages (SAPKB64030, SAPKB70027, SAPKB70111, SAPKB70211, SAPKB71014, SAPKB71109, SAPKB72007, SAPKB73007, SAPKB73101, SAPKB73103)
Описание
CERTREQ и CERTMAP приложений BSP выполняют функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию. Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
1. Дополнительную информацию и инструкции см. в бюллетене 1520324. Для реализации данного бюллетеня необходимо внести исправления, указанные в бюллетене 1520324.
2. Используйте автоматические инструкции по исправлению ошибок, представленные в данном бюллетене. Затем следуйте инструкциям по исправлению ошибок вручную.





------------------------------------------------------------------------
|Выполняется после установки и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО SAP_BASIS SAP Basis compo...|
| Версия 640 SAPKB64024 - SAPKB64029 |
| Версия 700 SAPKB70004 - SAPKB70026 |
| Версия 710 SAPKB71003 - SAPKB71013 |
| Версия 711 SAPKB71101 - SAPKB71108 |
| Версия 701 SAPKB70107 - SAPKB70110 |
| Версия 702 SAPKB70201 - SAPKB70210 |
| Версия 730 SAPKB73001 - SAPKB73006 |
| Версия 720 SAPKB72002 - SAPKB72006 |
| Версия 731 SAPKB73101 - SAPKB73102 |
------------------------------------------------------------------------


Вызовите транзакцию SE80 и выберите пакет SUSR_CERT.
1. Выберите CERTMAP приложения BSP и откройте вкладку "Properties" ("Свойства"). Установите флаг "XSRF Protection" ("Защита от межсайтовой подмены запросов").
2. Перейдите на страницу "default.htm" и откройте вкладку "Properties". Установите флаг "Start BSP" ("Запустить BSP").
Повторите вышеперечисленные действия для CERTREQ и (только NW 7.30) CERTREQ2 приложений BSP.
Ссылки