Обнаружена уязвимость в механизме аутентификации баз данных SAP ASE

Обнаружена уязвимость в механизме аутентификации баз данных SAP ASE

Позволяющая скомпрометировать конфиденциальную информацию брешь уже была исправлена разработчиками.

image

Как сообщают разработчики компании SAP, они устранили в своем продукте Adaptive Server Enterprise (ASE) уязвимость, позволяющую удаленному пользователю получить доступ к целевому серверу в обход механизма аутентификации.

Отметим, что SAP ASE является реляционным решением для управления базами данных, основным предназначением которого является поддержка высокопроизводительных приложений, которые обрабатывают большие объемы данных, поступающих от множества пользователей.

Уязвимость ( CVE-2014-6284 ) была  обнаружена  исследователем Мартином Рахмановым (Martin Rakhmanov) из Trustwave. Информация о выявленном им недостатке была передана разработчика SAP еще в январе 2014 года.

Как выяснилось, в механизме обработки запросов и ответов для контроля доступа к Adaptive Server в SAP ASE существовал неизменяемый логин «probe», используя который потенциальный злоумышленник мог получить несанкционированный доступ к системе. 

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle