Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1617369-1)
SAP Support Packages
(DI_CHANGE_MGMT_SERVER__701_SP007_000002, DI_CHANGE_MGMT_SERVER__701_SP008_000001, DI_CHANGE_MGMT_SERVER__701_SP009_000001, DI_CHANGE_MGMT_SERVER__701_SP010_000001, DI_CHANGE_MGMT_SERVER__701_SP011_000000, DI_CHANGE_MGMT_SERVER__701_SP999999_999999, DI_CHANGE_MGMT_SERVER__702_SP004_000002, DI_CHANGE_MGMT_SERVER__702_SP005_000001, DI_CHANGE_MGMT_SERVER__702_SP006_000001, DI_CHANGE_MGMT_SERVER__702_SP007_000001, DI_CHANGE_MGMT_SERVER__702_SP008_000001, DI_CHANGE_MGMT_SERVER__702_SP009_000001, DI_CHANGE_MGMT_SERVER__702_SP010_000000, DI_CHANGE_MGMT_SERVER__702_SP999999_999999, DI_CHANGE_MGMT_SERVER_700_SP022_000003, DI_CHANGE_MGMT_SERVER_700_SP023_000001, DI_CHANGE_MGMT_SERVER_700_SP024_000002, DI_CHANGE_MGMT_SERVER_700_SP025_000001, DI_CHANGE_MGMT_SERVER_700_SP026_000000, DI_CHANGE_MGMT_SERVER_700_SP999999_999999, DI_CHANGE_MGMT_SERVER_710_SP014_000000, DI_CHANGE_MGMT_SERVER_710_SP999999_999999, DI_CHANGE_MGMT_SERVER_711_SP005_000002, DI_CHANGE_MGMT_SERVER_711_SP006_000001, DI_CHANGE_MGMT_SERVER_711_SP007_000001, DI_CHANGE_MGMT_SERVER_711_SP008_000000, DI_CHANGE_MGMT_SERVER_711_SP009_000000, DI_CHANGE_MGMT_SERVER_711_SP999999_999999, DI_CHANGE_MGMT_SERVER_720_SP003_000003, DI_CHANGE_MGMT_SERVER_720_SP004_000002, DI_CHANGE_MGMT_SERVER_720_SP005_000001, DI_CHANGE_MGMT_SERVER_720_SP007_000000, DI_CHANGE_MGMT_SERVER_720_SP999999_999999, DI_CHANGE_MGMT_SERVER_730_SP001_000002, DI_CHANGE_MGMT_SERVER_730_SP002_000001, DI_CHANGE_MGMT_SERVER_730_SP003_000001, DI_CHANGE_MGMT_SERVER_730_SP004_000001, DI_CHANGE_MGMT_SERVER_730_SP005_000000, DI_CHANGE_MGMT_SERVER_730_SP999999_999999, DI_CHANGE_MGMT_SERVER_731_SP001_000000, DI_CHANGE_MGMT_SERVER_731_SP002_000000, DI_CHANGE_MGMT_SERVER_731_SP999999_999999, JDI_640_SP025_000004, JDI_640_SP026_000003, JDI_640_SP027_000001, JDI_640_SP028_000001, JDI_640_SP029_000000, JDI_640_SP999999_999999)
Описание
В службе CMS имеются уязвимости "Verb Tampering". Таким образом, если доступ к приложению осуществляется при помощи HTTP-запросов, содержащих нестандартные HTTP-методы, то существует возможность разглашения и/или искажения информации.
Для отключения invokerservlet необходимо воспользоваться SAP Note 1445998. Не обязательно реализовывать оба этих бюллетеня. Однако данная мера необходима для обеспечения полной защиты от атак с использованием сервлетов данного компонента.
Для отключения invokerservlet необходимо воспользоваться SAP Note 1445998. Не обязательно реализовывать оба этих бюллетеня. Однако данная мера необходима для обеспечения полной защиты от атак с использованием сервлетов данного компонента.
Как исправить
Используйте прилагаемые к данному бюллетеню исправления, соответствующие версии и уровню SP вашего AS Java с установленной CMS.
Ссылки