Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP AS JAVA
(SAP NetWeaver)
Описание
Приложения Java EE могут использовать системные cookie-файлы для сбора пользовательских данных (например, данных о сессиях, входе в систему и т.п.). Данные cookie-файлы содержат конфиденциальную информацию о пользователе. Чтобы исключить несанкционированное использование подобных данных, cookie-файлы должны быть недоступны сценариям на стороне клиента. Для защиты системных cookie-файлов рекомендуется использовать атрибут HttpOnly. Использование атрибута HttpOnly повышает безопасность системы за счет ограничения доступа сторонних сценариев, апплетов и плагинов веб-браузера к cookie-файлам. Однако, подобные настройки могут привести к некорректной работе приложений, использующих данные cookie-файлов.
Для обеспечения совместимости, использование атрибута HttpOnly для системных cookie-файлов отключено по умолчанию. Рекомендуется вручную включить функцию его присвоения, убедившись, что ваши приложения не используют системные cookie-файлы на стороне клиента.
Не устанавливайте параметру SystemCookiesDataProtection значение true, если параметр ICM disable_url_session_tracking также имеет значение true. Если оба параметра имеют значение true, то AS Java не сможет корректно обрабатывать HTTP-сессии.
Для обеспечения совместимости, использование атрибута HttpOnly для системных cookie-файлов отключено по умолчанию. Рекомендуется вручную включить функцию его присвоения, убедившись, что ваши приложения не используют системные cookie-файлы на стороне клиента.
Не устанавливайте параметру SystemCookiesDataProtection значение true, если параметр ICM disable_url_session_tracking также имеет значение true. Если оба параметра имеют значение true, то AS Java не сможет корректно обрабатывать HTTP-сессии.
Как исправить
Установите параметру SystemCookiesDataProtection значение true.