Логика CMS KDB GSKit (IBM Spectrum Protect 7.1 и 7.2) и (IBM Spectrum Protect Snapshot 4.1.3, 4.1.4 и 4.1.6) не использует salt для хэш-фун…
Логика CMS KDB GSKit (IBM Spectrum Protect 7.1 и 7.2) и (IBM Spectrum Protect Snapshot 4.1.3, 4.1.4 и 4.1.6) не использует salt для хэш-функции, что приводит к более слабой, чем ожидалось, защите паролей. Слабый пароль может быть восстановлен. Примечание: после обновления клиент должен изменить пароль, чтобы обеспечить более безопасное хранение нового пароля. Продукты должны побуждать клиентов предпринять этот шаг в качестве приоритетного действия. IBM X-Force ID: 139972.
Продукт генерирует хеш для пароля, однако применяет схему, не обеспечивающую достаточного уровня вычислительных затрат, что делает атаки перебора паролей осуществимыми или недостаточно дорогостоящими.
https://cwe.mitre.org/data/definitions/916.html →Открыть в коллекции CWE →Злоумышленник получает доступ к таблице базы данных, в которой хранятся хеши паролей. Затем он использует таблицу радужных цепочек из заранее вычисленных хеш-цепочек для попытки восстановить исходный пароль. Получив исходный пароль, соответствующий хешу, злоумышленник использует его для получения доступа к системе.
https://capec.mitre.org/data/definitions/55.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| spectrum_protect_for_space_management | * | Отслеживается |
| spectrum_protect_for_virtual_environments | * | Отслеживается |
| spectrum_protect_snapshot | * | Отслеживается |