Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1594977-1)
SAP Support Packages
(SAPKU52011, SAPKU60011, SAPKU70011, SAPKU70107)
Описание
CRM-MD-BP-CCP выполняет функции, обращаясь по особым URL-адресам. Если злоумышленник заставит браузер пользователя, прошедшего аутентификацию, сделать запрос, содержащий определенный URL-адрес и специальные параметры, то функция будет выполнена с правами пользователя, прошедшего аутентификацию.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Для этого злоумышленник может использовать межсайтовое выполнение сценариев или ссылку, отправленную пользователю.
Как исправить
Воспользуйтесь прилагаемой инструкцией по исправлению ошибок.
------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 520 до SAPKU52010 |
| Версия 700 SAPKU70001 - SAPKU70010 |
| Версия 600 SAPKU60001 - SAPKU60010 |
| Версия 701 SAPKU70103 - SAPKU70106 |
------------------------------------------------------------------------
Ниже указаны действия, которые необходимо предпринять для защиты приложения CRM_BSP_CCKPT_SERVICE_HTTP (Business Partner Cockpit) от межсайтовой подмены запросов.
1. Перейдите к транзакции SE80 и выберите приложение CRM_BSP_CCKPT_SERVICE_HTTP.
2. Перейдите на закладку со свойствами и нажмите кнопку Display/Change ("Показать/Изменить").
3. Установите флажок защиты от межсайтовой подмены запросов ("XSRF protection"). Сохраните изменения.
4. Выберите файл loader.htm (в папке "Pages with Flow Logic").
5. На закладке "Свойства" ("Properties") установите флажок Start BSP ("Запустить BSP") и сохраните изменения.
Если необходимо разблокировать приложение BSP, обратитесь к бюллетеню 1038797.
------------------------------------------------------------------------
|Выполняется предварительно и вручную. |
------------------------------------------------------------------------
|ДЕЙСТВИТЕЛЬНО ДЛЯ |
|Компонент ПО BBPCRM BBP / CRM |
| Версия 520 до SAPKU52010 |
| Версия 700 SAPKU70001 - SAPKU70010 |
| Версия 600 SAPKU60001 - SAPKU60010 |
| Версия 701 SAPKU70103 - SAPKU70106 |
------------------------------------------------------------------------
Ниже указаны действия, которые необходимо предпринять для защиты приложения CRM_BSP_CCKPT_SERVICE_HTTP (Business Partner Cockpit) от межсайтовой подмены запросов.
1. Перейдите к транзакции SE80 и выберите приложение CRM_BSP_CCKPT_SERVICE_HTTP.
2. Перейдите на закладку со свойствами и нажмите кнопку Display/Change ("Показать/Изменить").
3. Установите флажок защиты от межсайтовой подмены запросов ("XSRF protection"). Сохраните изменения.
4. Выберите файл loader.htm (в папке "Pages with Flow Logic").
5. На закладке "Свойства" ("Properties") установите флажок Start BSP ("Запустить BSP") и сохраните изменения.
Если необходимо разблокировать приложение BSP, обратитесь к бюллетеню 1038797.
Ссылки