Solution : https://service.sap.com/sap/support/notes/626073 (Connexion à SAP Service Marketplace requise)
Résumé :
La note SAP décrit les problèmes relatifs à l'absence de vérifications d'autorisation dans certains services de Framework de Communication Internet (ICF) destinés à un usage interne SAP. Les services principaux concernés incluent /sap/bc/report, /sap/bc/xrfc, /sap/bc/FormToRfc, entre autres. Par exemple, /sap/bc/report ne contrôle pas l'existence de groupes d'autorisation pour les rapports, ce qui peut conduire à un accès non autorisé sauf correction comme suggéré. De plus, les vulnérabilities liées au scripting intersite (XSS) dans /sap/bc/echo et les préoccupations d'injection de scripts dans /sap/bc/error sont corrigées avec des Support Packages spécifiques. Il est conseillé aux utilisateurs de désactiver les services inutilisés via la transaction SICF et d'implémenter les correctifs ou le code source conformément aux instructions spécifiées.
Mots Clés :
generic internet communication framework, /sap/bc/soap/rfc, release 620 service /sap/bc/error, internet communication framework services, relevant abap source code, /sap/bc/error reason, service /sap/bc/report, service /sap/bc/echo, services /sap/bc/xrfc, release 610 support package sapkb62033
Notes associées :
| 1487606 | IDoc inbound processing via HTTP/SOAP |
| 1394100 | Security note: Access to RFC-enabled modules via SOAP |
| 711701 | Composite SAP note: Security in E-Recruiting |
| 566955 | SOAP Processor within SAP Web AS released |
| 481543 | Disabling HTTP services in WebAS 6.10 |
| 93254 | RFC short dump RFC_NO_AUTHORITY |