شماره: IRCNE2015062542
تاريخ:03/29 /94
يك محقق امنيتي در خصوص يك آسيب پذيري امنيتي بالقوه در حافظه داخلي پلت فرم SAP هشدار داد.
Alexander Polyakov، جزئيات اين آسيب پذيري را در سيزدهمين كنفرانس كلاه سياه كه در هلند برگزار شده بود تشريح كرد و گفت: اگر مهاجمي بتواند از اين آسيب پذيري سوء استفاده كند، مي تواند به تمامي داده هاي رمزگذاري شده ذخيره شده در يك پايگاه داده SAP Hana دسترسي يابد.
او افزود: اين امكان وجود دارد كه بتوان به اطلاعاتي مانند رمزهاي عبور كاربران و كليدهاي root دسترسي يافت زيرا اين اطلاعات با استفاده از كليد رمزگذاري پيش فرض يكسان با سيستم Hana ذخيره مي شوند و به هكرها اجازه مي دهد تا به راحتي و به طور بالقوه به داده ها دسترسي يابند. اين كليد رمزگذاري براي هر نصب برنامه يكسان است مگرآنكه ادمين آن را تغيير دهد. پس از انجام عمليات تست نفوذ بر روي تعدادي برنامه مشخص شد كه هيچ كس اين كليد را تغيير نداده است.
مشكل يكساني بر روي پلت فرم تلفن همراه SAP نيز وجود دارد. رمز عبور اين برنامه كاربردي بر روي فايل پيكربندي ذخيره شده است و با كليد پيش فرض يكسان با نصب برنامه رمزگذاري شده است.
Polyakov اظهار داشت: توصيه ما به مشتريان آن است كه توصيه هاي مطرح شده در SAP Hana Security Guide را پيگيري نمايند و كليد اصلي استاتيك كه همراه با محصولات ما منتشر مي شود را تغيير دهند.
- 9