Solution : https://service.sap.com/sap/support/notes/1266780 (Connexion à SAP Service Marketplace requise)
Résumé :
Si vous copiez et envoyez des URLs contenant un identifiant de session actif, le destinataire peut exécuter ces URLs, ce qui représente un risque de sécurité. Cette vulnérabilité est due au traitement par le système SAP des requêtes issues d'une session établie sans revérifier le ticket de connexion SAP. Pour y remédier, SAP propose désormais une correction où le ticket de connexion est vérifié à chaque requête si configuré pour utiliser exclusivement les tickets de connexion SAP pour l'authentification unique (SSO). Cela implique l'activation d'un correctif du noyau et la configuration spécifique du profil système et de l'ICF pour activer les vérifications spécifiques au service. Le système rejette toute requête non conforme à ces vérifications de sécurité, enregistrant les erreurs respectives.
Mots Clés :
service-specific cookie check activated, required kernel patch results, kernel switch icf/ssocookie_mandatory = 1, kernel parameter icf/ssocookie_mandatory, sap logon ticket, sap logon tickets, call transaction sicf, icf/ssocookie_mandatory = 1only, timeout short dumps, error page specific
Notes associées :
| 1532874 | Upgrade: Changing the HTTP reauthentication |
| 1532777 | |
| 1521197 | Update #1 to Security Note 1517094 |
| 1517094 | CRM-IC: Session Access Token |
| 1465838 | User check of HTTP request in ABAP 700/kernel 720 |
| 1420203 | Enable foreign access to a stateful HTTP session |
| 1396332 | SRM: Issues caused by note 1266780 |
| 1374166 | Work process terminates with TIME_OUT with SSOMANDATORY |
| 1334907 | ICF, HTTPONLY flag for ICF cookies |
| 1325243 | ITS Up/down: not working if user recheck is enabled |
| 1277022 |