CVE-2018-2380

SAP Customer Relationship Management (CRM)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

SAP Customer Relationship Management (CRM) contains a path traversal vulnerability that allows an attacker to exploit insufficient validation of path information provided by users.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник может отправить специально сформированный запрос, содержащий последовательности символов для обхода ограничений (например, ../). Из-за недостаточной проверки пути в SAP CRM система может интерпретировать этот запрос как команду на чтение или запись файлов за пределами предназначенного каталога. Это позволяет получить несанкционированный доступ к конфиденциальным системным файлам.

Как исправить

Установите официальный патч от SAP. Для SAP CRM уязвимость CVE-2018-2380 устранена в следующих пакетах поддержки (Support Packages) и ядрах:

  1. Для SAP CRM 7.02: Установите SAP Note 2380465. Требуемый пакет поддержки ядра (Kernel Patch) — SAP Kernel 7.21/7.22 PL300 или выше.
  2. Для SAP CRM 7.31: Установите SAP Note 2380465. Требуемый пакет поддержки ядра — SAP Kernel 7.21/7.22 PL300 или выше.
  3. Для SAP CRM 7.33 и 7.54: Установите SAP Note 2380465. Требуемый пакет поддержки ядра — SAP Kernel 7.21/7.22 PL300 или выше.

Порядок действий: * Войдите в систему SAP Support Portal (https://support.sap.com). * Загрузите и примените SAP Note 2380465 для вашей версии CRM. * Обновите SAP Kernel до требуемой версии, следуя официальному руководству SAP.

Временное решение

Если немедленная установка патча невозможна, ограничьте воздействие уязвимости:

  1. Настройте SAP Web Dispatcher или внешний WAF:
    • Добавьте правило для блокировки HTTP-запросов, содержащих последовательности для обхода пути (path traversal). Пример шаблона для правила: apache # Пример для mod_security (Apache) или аналогичных WAF SecRule REQUEST_URI|REQUEST_BODY "@contains ../" "id:10001,phase:2,deny,status:403,msg:'Path Traversal Attack Attempt'"
  2. Ограничьте сетевой доступ:
    • Настройте групповые политики (GPO) или правила межсетевого экрана (firewall), чтобы разрешить доступ к интерфейсам SAP CRM (например, порты HTTP/S) только с доверенных IP-адресов или сегментов корпоративной сети.
  3. Минимизируйте привилегии:
    • Убедитесь, что операционная система и база данных, на которых работает экземпляр SAP, используют учетные записи с минимально необходимыми правами для доступа к файловой системе.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей