Sicherheit von SAP in Bezug auf neue Technologien
Sicherheit von SAP in Bezug auf neue Technologien
Sicherheit von SAP in Bezug auf neue Technologien
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Sicherheit</strong> <strong>von</strong> <strong>SAP</strong> <strong>in</strong> <strong>Bezug</strong> <strong>auf</strong> <strong>neue</strong> <strong>Technologien</strong><br />
rfc_put_codepage<br />
Diese Funktion setzt die Codepage anhand <strong>von</strong> <strong>in</strong> bestimmten <strong>in</strong>ternen<br />
Tabellen vermerkten Index. Während die Ausführung dieser Funktion bei<br />
Kernelversion 640 (NW4) ke<strong>in</strong>e s<strong>in</strong>vollen Ergebnisse br<strong>in</strong>gt, zeigt e<strong>in</strong> Blick<br />
<strong>in</strong> den ABAP-Quellcode dieser Funktion bei Kernelversion 700 (NW4s), dass<br />
sämtliche Codezeilen auskommentiert s<strong>in</strong>d und mit dem Aufruf dieser<br />
Funktion somit ke<strong>in</strong>e Aktion verbunden ist.<br />
Das Problem <strong>in</strong> Version 640 ist der <strong>in</strong> der Funktion Parameter PATHNAME.<br />
Bei dieser Funktion ist ausser Rückmeldungen über Fehler ke<strong>in</strong>e Rückgabe<br />
vorgesehen. So führt e<strong>in</strong> Aufruf mit den Parametern<br />
FROMPAGE = 0400<br />
TOPAGE = 1152<br />
PATHNAME = %%%123<br />
<strong>in</strong> e<strong>in</strong>em speziell hierfür geschriebenen C-Programms zu <strong>in</strong> Abbildung 1 zu<br />
sehenden Ausgabe:<br />
Abbildung 1: Ausgabe mit zufälligem Path-Parameter<br />
Die Funktion wurde also offensichtlich ohne Fehler ausgeführt.<br />
E<strong>in</strong> Blick <strong>in</strong> /usr/sap/NW4/DVEBMGS00/work zeigt jedoch wie <strong>in</strong> Abbildung<br />
2 zu sehen:<br />
Abbildung 2: Auswirkung im Dateisystem<br />
Damian Schlager Seite 101