• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Note 1616535 - Безопасная конфигурация ICM для сервера приложений ABAP

Главная Специалистам База уязвимостей Note 1616535 - Безопасная конфигурация ICM для сервера приложений ABAP

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
SAP
Наименование ПО
SAP Notes (1616535-1)
Описание
При возникновении ошибки, ICM и сервер приложений ABAP предоставляют пользователю подробную информацию о версии сервера и возможной причине ошибки. Злоумышленник может воспользоваться данной информацией для проведения атак.
Как исправить
Используйте следующие настройки, чтобы ограничить информацию о сервере до минимума:
Установите параметру is/HTTP/show_server_header значение FALSE. После этого, поле заголовка "Server:" не отображается в HTTP-ответах.
Установите параметру is/HTTP/show_detailed_errors значение FALSE. После этого, система не отправляет клиенту никакой информации об ошибке.
Альтернативным способом решения проблемы является создание собственных страниц ошибок, исключающих отправку системой технической информации об ошибке. Для этого необходимо настроить параметр icm/HTTP/error_templ_path = /usr/sap/B6M/D13/data/icmerror и создать собственные страницы ошибок.
Для обеспечения дополнительной безопасности при работе с сервером приложений ABAP используйте следующие рекомендации:
Всегда проверяйте актуальность вашей версии сервера приложений ABAP.
Для установления соединений между браузером и сервером приложений используйте только протокол HTTPS.
См. список соответствующих бюллетеней.
Ссылки