IBM Tivoli Key Lifecycle Manager 3.0, 3.0.1, 4.0 и 4.1 использует одностороннюю криптографическую хеш-функцию для ввода, который не должен …
IBM Tivoli Key Lifecycle Manager 3.0, 3.0.1, 4.0 и 4.1 использует одностороннюю криптографическую хеш-функцию для ввода, который не должен быть обратимым, например, пароля, но программное обеспечение также не использует соль как часть ввода. IBM X-Force ID: 212785.
Продукт генерирует хеш для пароля, однако применяет схему, не обеспечивающую достаточного уровня вычислительных затрат, что делает атаки перебора паролей осуществимыми или недостаточно дорогостоящими.
https://cwe.mitre.org/data/definitions/916.html →Открыть в коллекции CWE →Злоумышленник получает доступ к таблице базы данных, в которой хранятся хеши паролей. Затем он использует таблицу радужных цепочек из заранее вычисленных хеш-цепочек для попытки восстановить исходный пароль. Получив исходный пароль, соответствующий хешу, злоумышленник использует его для получения доступа к системе.
https://capec.mitre.org/data/definitions/55.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| security_guardium_key_lifecycle_manager | * | Отслеживается |
| security_key_lifecycle_manager | * | Отслеживается |