Security Lab

PT-2013-24: Сокрытие полномочий пользователя в SAP NetWeaver

(PT-2013-24) Positive Technologies Security Advisory
Сокрытие полномочий пользователя в SAP NetWeaver

Уязвимое ПО

SAP NetWeaver
Версия: 7.20

SAP_BASIS
Версия: 7.31 и более ранние

Ссылка:
http://sap.com/

Рейтинг опасности

Уровень опасности: Средний
Воздействие: Сокрытие полномочий пользователя
Вектор атаки: Удаленный

CVSS v2:
Base Score: 4.6
Vector: (AV:N/AC:H/AU:S/C:P/I:P/A:P)

CVE: отсутствует

Описание программы

SAP NetWeaver — тиражируемое связующее программное решение компании SAP, которое является технической основой для всех приложений SAP Business Suite.

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Сокрытие полномочий пользователя" в SAP NetWeaver.

Независимо от того, какими полномочиями обладает пользователь '............', данная информация не отображается в отчете RSUSR002.

Решение

Установите последнюю версию приложения

Статус уведомления

20.03.2013 - Производителю отправлены детали уязвимости
10.06.2013 - Производитель выпустил исправление
13.09.2013 - Публикация уязвимости

Благодарности

Уязвимость обнаружил Дмитрий Гуцко (Исследовательский центр Positive Research компании Positive Technologies)


Ссылки

http://www.securitylab.ru/lab/PT-2013-24
https://service.sap.com/sap/support/notes/1844202

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

О Positive Technologies

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности. 
Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.

Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.