黑客指出,大部分SAP HANA仍在使用易于获取的默认密钥

来源:ZDNet安全频道 【编译】   作者:畅享网
2015/6/19 13:25:56
使用默认密钥?!安全隐患大!!

本文关键字: SAP HANA 密钥

ERPScan公司技术负责人Alexander Polyakov指出,大量采用默认安全设置导致众多SAP HANA部署方案之密码与根密钥被外部攻击者们轻易获取。

黑客指出,大部分SAP HANA仍在使用易于获取的默认密钥

攻击者们能够利用通用的默认密钥破解加密密码,从而顺利侵入到这套内存内、面向列的关系数据库管理系统当中。

Polyakov指出,很多管理员并没有变更这些用于保护hdbuserstoresecure用户存储体系的默认密钥,而其中所包含的账户密码及保存点密钥也因此变得岌岌可危。

“人们往往误以为SAP HANA这样一套内存内数据库并不会把任何敏感数据保存在磁盘驱动器当中,但事实上,一部分数据确实会被保存在磁盘上,”Polyakov指出。

“一旦大家访问hdbuserstore文件并利用静态主密钥对其进行解密——各安装方案皆采用同样的主密钥内容——那么各位就能借此获得系统用户密码及磁盘加密密钥。在此之后,所有数据都将可供访问。”

“根据我们的咨询服务调查,当前仍在使用默认主密钥来加密hdbuserstore的客户比例高达100%。”

上述问题是在本届于荷兰召开的黑帽技术讲座上公布的,一同被披露的还有HANA的另外几项安全漏洞,包括XS Server当中的补丁安装后SQL注入漏洞。

使用默认密钥及硬编码程度较低的安全凭证可以说是IT系统领域的一大常见问题,在这种情况下攻击者们往往能够在供应商的产品说明文档内查询到安全建议并了解默认密码内容。而作为另一种常见安全问题,上述暴露出攻击面的服务也将随即被恶意人士锁定。

“静态密钥与孱弱的加密算法在企业级商务应用领域可谓司空见惯,例如企业的ERP系统中。”Polyakov表示。

SAP公司在说明文档(PDF格式)当中指出,客户应当对主密钥进行修改。

SAP方面还建议数据库管理员进行以下操作:

  • 利用resecssfx工具变更SSFS主密钥
  • 利用hdbnsutil工具变更数据分卷加密根密钥
  • 利用hdbnsutil工具变更数据加密服务根密钥
  • 限制对该密钥文件的访问
  • 限制对该DAT文件的访问
责编:何鹏
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
成都行

成都行亮点 成都行程 智囊团 参观成员 合作媒体 活动咨询..

2015年中国制造业信息化峰会

大会聚焦 大会亮点 大会议程 重要嘉宾 成都行 赞助合作 ..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918