Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
SAP Notes
(1237762-4)
Описание
Атаки на хэши паролей возможны в следующих условиях:
1. Доступ на чтение хэш-значений паролей ABAP.
2. Реализация идентичного алгоритма хэширования паролей.
1. Доступ на чтение хэш-значений паролей ABAP.
2. Реализация идентичного алгоритма хэширования паролей.
Как исправить
Акцентировать методы защиты необходимо на пункте 1 (защита хэш-значений паролей от доступа на чтение), поскольку алгоритмы зачастую не защищены от разглашения.
Хэш-значения (действующих) паролей хранятся в таблице USR02 в системах ABAP. В этом случае система также предоставляет информацию о процедуре хэширования паролей, используемой для расчета этих значений (см. также Note 1023437 и 991968).
Это значит, что вам необходимо обеспечить защиту данной таблицы от получения доступа на чтение:
1. Защита от доступа извне (при помощи SQL).
Обычно рекомендуется ограничить прямой доступ к таблицам баз данных (например, при помощи межсетевого экрана). В противном случае, система ABAP не способна эффективно контролировать получение доступа.
2. Защита от доступа при помощи программных средств ABAP.
Вы можете использовать программные средства ABAP для получения прямого доступа к любым таблицам. В связи с этим настоятельно рекомендуется использовать ограничения при назначении полномочий на разработку в системах, находящихся в промышленной эксплуатации (см. Note 13202).
В данном контексте полномочия на отладку (включая полномочия на изменение переменных или изменение хода выполнения программы) рассматриваются как полномочия на создание и выполнение вашего собственного исходного кода ABAP.
3. Защита от доступа при помощи существующих базовых инструментов.
Вы можете получить доступ к таблице USR02 при помощи программы просмотра таблиц (транзакция SE16 или SE17, а также из поиска с использованием транзакции SE11). В этом случае система выполняет только проверку авторизационной группы для таблицы (объект полномочий S_TABU_DIS, см. Note 26909).
Подробную информацию см. в Note 1133739.
Таблица USR02 назначена авторизационной группе 'SC'. (Для управления данными полномочиями можно использовать транзакцию SE54).
4. Защита от экспорта содержимого таблиц при помощи системы переносов.
Благодаря исправлениям и переносам, содержимое таблиц может быть экспортировано при помощи запросов на перенос. Таким образом, необходимо ограничить при назначении полномочий на управление запросами на перенос (объект полномочий S_TRANSPRT, Activity 01 и т.д.).
Хэш-значения (действующих) паролей хранятся в таблице USR02 в системах ABAP. В этом случае система также предоставляет информацию о процедуре хэширования паролей, используемой для расчета этих значений (см. также Note 1023437 и 991968).
Это значит, что вам необходимо обеспечить защиту данной таблицы от получения доступа на чтение:
1. Защита от доступа извне (при помощи SQL).
Обычно рекомендуется ограничить прямой доступ к таблицам баз данных (например, при помощи межсетевого экрана). В противном случае, система ABAP не способна эффективно контролировать получение доступа.
2. Защита от доступа при помощи программных средств ABAP.
Вы можете использовать программные средства ABAP для получения прямого доступа к любым таблицам. В связи с этим настоятельно рекомендуется использовать ограничения при назначении полномочий на разработку в системах, находящихся в промышленной эксплуатации (см. Note 13202).
В данном контексте полномочия на отладку (включая полномочия на изменение переменных или изменение хода выполнения программы) рассматриваются как полномочия на создание и выполнение вашего собственного исходного кода ABAP.
3. Защита от доступа при помощи существующих базовых инструментов.
Вы можете получить доступ к таблице USR02 при помощи программы просмотра таблиц (транзакция SE16 или SE17, а также из поиска с использованием транзакции SE11). В этом случае система выполняет только проверку авторизационной группы для таблицы (объект полномочий S_TABU_DIS, см. Note 26909).
Подробную информацию см. в Note 1133739.
Таблица USR02 назначена авторизационной группе 'SC'. (Для управления данными полномочиями можно использовать транзакцию SE54).
4. Защита от экспорта содержимого таблиц при помощи системы переносов.
Благодаря исправлениям и переносам, содержимое таблиц может быть экспортировано при помощи запросов на перенос. Таким образом, необходимо ограничить при назначении полномочий на управление запросами на перенос (объект полномочий S_TRANSPRT, Activity 01 и т.д.).
Ссылки