PT-2021-14542 · Sap · Sap Hana Database
Publicado
2021-02-09
·
Atualizado
2022-07-12
·
CVE-2021-21474
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Banco de dados SAP HANA versões 1.0, 2.0
Descrição
A vulnerabilidade permite que um invasor adultere tokens SAML que utilizam o resumo MD5, podendo se passar por um usuário no banco de dados HANA e acessar seu conteúdo. Isso é possível porque um invasor que obtenha uma asserção SAML assinada com resumo MD5 pode ser capaz de alterá-la sem invalidar a assinatura digital.
Recomendações
Para as versões 1.0 e 2.0 do banco de dados SAP HANA, considere desativar a aceitação de tokens SAML com resumo MD5 até que um patch esteja disponível. Como solução alternativa temporária, restrinja o acesso a dados confidenciais no banco de dados para minimizar o risco de exploração. Evite usar asserções SAML assinadas com resumo MD5 nas instâncias afetadas do SAP HANA até que o problema seja resolvido.
Correção
Inadequate Encryption Strength
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sap Hana Database