Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1611873-1)
SAP Support Packages
(LIFECYCLE_MGMT_TOOLS_701_SP007_000013, LIFECYCLE_MGMT_TOOLS_701_SP008_000008, LIFECYCLE_MGMT_TOOLS_701_SP009_000005, LIFECYCLE_MGMT_TOOLS_701_SP010_000001, LIFECYCLE_MGMT_TOOLS_701_SP011_000000, LIFECYCLE_MGMT_TOOLS_701_SP999999_999999, LIFECYCLE_MGMT_TOOLS_702_SP004_000008, LIFECYCLE_MGMT_TOOLS_702_SP005_000007, LIFECYCLE_MGMT_TOOLS_702_SP006_000010, LIFECYCLE_MGMT_TOOLS_702_SP007_000006, LIFECYCLE_MGMT_TOOLS_702_SP008_000005, LIFECYCLE_MGMT_TOOLS_702_SP009_000002, LIFECYCLE_MGMT_TOOLS_702_SP010_000000, LIFECYCLE_MGMT_TOOLS_702_SP999999_999999, LM_CTS_720_SP002_000001, LM_CTS_720_SP003_000001, LM_CTS_720_SP004_000001, LM_CTS_720_SP005_000001, LM_CTS_720_SP007_000000, LM_CTS_720_SP999999_999999, LM_CTS_730_SP001_000003, LM_CTS_730_SP002_000002, LM_CTS_730_SP003_000001, LM_CTS_730_SP004_000001, LM_CTS_730_SP005_000000, LM_CTS_730_SP999999_999999)
Описание
В службах CM Services имеются уязвимости "Verb Tampering". Таким образом, если доступ к приложению осуществляется при помощи HTTP-запросов, содержащих нестандартные HTTP-методы, то существует возможность разглашения и/или искажения информации.
Для отключения invokerservlet необходимо воспользоваться SAP Note 1445998. Не обязательно реализовывать оба этих бюллетеня. Однако данная мера необходима для обеспечения полной защиты от атак с использованием сервлетов данного компонента.
Для отключения invokerservlet необходимо воспользоваться SAP Note 1445998. Не обязательно реализовывать оба этих бюллетеня. Однако данная мера необходима для обеспечения полной защиты от атак с использованием сервлетов данного компонента.
Как исправить
Используйте прилагаемые к данному бюллетеню исправления, соответствующие версии и уровню SP вашего AS Java с установленными CM Services.
Для версий 7.0x, исправление содержится в программном компоненте LM-TOOLS.
Для версий 7.20, 7.30 и выше, исправление содержится в программном компоненте LM-CTS.
Для версий 7.0x, исправление содержится в программном компоненте LM-TOOLS.
Для версий 7.20, 7.30 и выше, исправление содержится в программном компоненте LM-CTS.
Ссылки