SAP Note 1394100 - Security note: Access to RFC-enabled modules via SOAP

Composant : Internet Communication Framework - RFC

Solution : https://service.sap.com/sap/support/notes/1394100 (Connexion à SAP Service Marketplace requise)

Résumé :
La note SAP traite d'un risque de sécurité dans les systèmes ABAP où l'exécution non autorisée de modules de fonction à distance peut se produire via les canaux SOAP et HTTP si le service ICF "/sap/bc/soap/rfc" est activé incorrectement. Cette vulnérabilité survient lorsque l'autorisation RFC est trop permissive. Les utilisateurs doivent vérifier l'utilisation de ce service dans leur paysage et le désactiver s'il n'est pas requis. Pour les paysages où le service doit rester actif, assurez-vous que les autorisations sont strictement contrôlées. Des conseils supplémentaires sont fournis pour le suivi de l'activité du serveur pour suivre les accès non autorisés dans le journal du serveur ICMan, et pour la migration vers le cadre de service Web après Web AS 640.

Mots Clés :
/saphelp_webas620/helpdata/de/73/b5f99d019f11d5991400508b6b8b11/content, /saphelp_webas620/helpdata/en/73/b5f99d019f11d5991400508b6b8b11/content, remote-enabled function modules occurs, access remote-enabled function modules, simple object access protocol, /sap/bc/soap/rfc, remote function call, /sap/bc/srt, internet communication framework, server log entries

Notes associées :

1504652
1487606IDoc inbound processing via HTTP/SOAP
1394093Collective Security Note
626073Unreleased Internet Communication Framework services
93254RFC short dump RFC_NO_AUTHORITY
40689