• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1610663 - Обход каталога в Digital Asset Management

Главная Специалистам База уязвимостей Note 1610663 - Обход каталога в Digital Asset Management

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1610663-2) SAP Support Packages (712, SAPKU50020, SAPKU60010, SAPKU60011, SAPKU70010, SAPKU70011, SAPKU70106, SAPKU70107, SAPKU70201, SAPKU70202)
Описание
Программы из инструкций по исправлению ошибок содержат уязвимости, позволяющие злоумышленникам просматривать произвольные файлы на удаленном сервере, получая таким образом доступ к конфиденциальной информации.
Некоторые программы из инструкций по исправлению ошибок содержат уязвимость, которая позволяет злоумышленникам записывать произвольные файлы на удаленный сервер, повреждая тем самым данные или изменяя поведение системы.
Как исправить
Дополнительную информацию и инструкции см. в бюллетене 1497003. Для реализации данного бюллетеня необходимо внести исправления, указанные в бюллетене 1497003.

Для устранения данной уязвимости используются логические имена файлов.

Следующие логические имена файлов были созданы для проверки достоверности имен физических файлов:
CRM_DAM_TMP_UPLOAD_FILE2

Рекомендации по созданию логических имен файлов.

Чтобы избежать большого количества логических имен файлов, некоторые программы используют одно общее логическое имя.
Использование одного логического имени файла для разных программ создает зависимости между этими программами. Чтобы разграничить данные, созданные разными пользователями и программами, попробуйте создать структуру каталогов, которая будет отражать имя пользователя и/или программы, а затем используйте эту информацию при указании физического пути и имен файлов для логических путей и имен файлов.
Ссылки