Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP AS ABAP
(, SAP system)
Описание
Файл списка контроля доступа сервера сообщений задается параметром профиля ms/acl_info. Запись в файле вида HOST = * позволяет заходить на сервер сообщений SAP c любых IP-адресов. В этом случае существует возможность реализации атаки типа "отказ в обслуживании" при помощи блокировки всех учетных записей, если установлено ограничение (лимит) на неправильно введенный пароль для каждой учетной записи.
Как исправить
Рекомендуется задать список контроля доступа к серверу сообщений SAP и включить туда только те IP-адреса, доступ с которых разрешен к серверу сообщений SAP.
Ссылки