Обнаружена уязвимость в механизме аутентификации баз данных SAP ASE

image

Теги: уязвимость, SAP, базы данных

Позволяющая скомпрометировать конфиденциальную информацию брешь уже была исправлена разработчиками.

Как сообщают разработчики компании SAP, они устранили в своем продукте Adaptive Server Enterprise (ASE) уязвимость, позволяющую удаленному пользователю получить доступ к целевому серверу в обход механизма аутентификации.

Отметим, что SAP ASE является реляционным решением для управления базами данных, основным предназначением которого является поддержка высокопроизводительных приложений, которые обрабатывают большие объемы данных, поступающих от множества пользователей.

Уязвимость ( CVE-2014-6284 ) была  обнаружена  исследователем Мартином Рахмановым (Martin Rakhmanov) из Trustwave. Информация о выявленном им недостатке была передана разработчика SAP еще в январе 2014 года.

Как выяснилось, в механизме обработки запросов и ответов для контроля доступа к Adaptive Server в SAP ASE существовал неизменяемый логин «probe», используя который потенциальный злоумышленник мог получить несанкционированный доступ к системе. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.