Использование хеша пароля с недостаточными вычислительными усилиями в QSAN Storage Manager, XEVO, SANOS позволяет удаленным злоумышленникам…
Использование хеша пароля с недостаточными вычислительными усилиями в QSAN Storage Manager, XEVO, SANOS позволяет удаленным злоумышленникам восстановить пароль в виде простого текста путем перебора хеша MD5. Упомянутая уязвимость была устранена в обновленной версии QSAN Storage Manager v3.3.2, QSAN XEVO v2.1.0 и QSAN SANOS v2.1.0.
Продукт генерирует хеш для пароля, однако применяет схему, не обеспечивающую достаточного уровня вычислительных затрат, что делает атаки перебора паролей осуществимыми или недостаточно дорогостоящими.
https://cwe.mitre.org/data/definitions/916.html →Открыть в коллекции CWE →Злоумышленник получает доступ к таблице базы данных, в которой хранятся хеши паролей. Затем он использует таблицу радужных цепочек из заранее вычисленных хеш-цепочек для попытки восстановить исходный пароль. Получив исходный пароль, соответствующий хешу, злоумышленник использует его для получения доступа к системе.
https://capec.mitre.org/data/definitions/55.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| sanos | * | Отслеживается |
| storage_manager | * | Отслеживается |
| xevo | * | Отслеживается |