Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP AS ABAP
(SAP system)
Описание
У анализируемой системы SAP настроены доверительные отношения с другими системами. При таком типе соединения SAP-система доверяет пользователю, аутентифицированному в удаленной системе. Такие пользователи обладают объектом авторизации S_RFCACL. Пользователи, которые обладают объектом авторизации S_RFCACL и профилем SAP_ALL, представляют опасность для системы. Злоумышленник, получив доступ к удаленной системе, может продолжить атаку на другие системы с правами SAP_ALL, подобрав только необходимое имя пользователя.
Как исправить
Рекомендуется не назначать объект авторизации S_RFCACL пользователям с профилем SAP_ALL. Необходимо изменить полномочия пользователей, используя транзакции SU01 и PFCG.
Ссылки