Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1599565-3)
Описание
LSOCP содержит уязвимости HTTP Verb Tampering. Таким образом, если злоумышленник получает доступ к приложению, используя HTTP-запросы, содержащие нестандартные HTTP-методы, то существует возможность разглашения или искажения информации.
Необходимые условия:
1. Никогда не назначайте пользователям "SAP_ungranted_role".
2. Убедитесь, что реализован бюллетень 1445998, который отключает InvokerServlet (не требуется для SAP NetWeaver 7.20 SP03 и выше). Хотя уязвимости HTTP Verb Tampering и InvokerServlet не являются причиной или следствием друг друга, рекомендуется устранить обе этих проблемы.
Необходимые условия:
1. Никогда не назначайте пользователям "SAP_ungranted_role".
2. Убедитесь, что реализован бюллетень 1445998, который отключает InvokerServlet (не требуется для SAP NetWeaver 7.20 SP03 и выше). Хотя уязвимости HTTP Verb Tampering и InvokerServlet не являются причиной или следствием друг друга, рекомендуется устранить обе этих проблемы.
Как исправить
Необходимо воспользоваться последними пакетами поддержки, указанными ниже (или их более поздними версиями).
LSOCP 604 -> SP10
LSOCP 602 -> SP10
LSOCP 600 -> SP20
LSOCP 604 -> SP10
LSOCP 602 -> SP10
LSOCP 600 -> SP20
Ссылки