漏洞标题
N/A
漏洞描述信息
SAP HANA数据库版本1.0和2.0都接受带有MD5摘要的SAML令牌。如果一个攻击者设法获得了为SAP HANA实例生成的带有MD5摘要的SAML assertion,他们可能会对其进行修改,以使摘要仍然相同,而不会影响数字签名的有效性。这样,他们可以在HANA数据库中模拟用户并读取数据库中的内容。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
SAP HANA Database, versions - 1.0, 2.0, accepts SAML tokens with MD5 digest, an attacker who manages to obtain an MD5-digest signed SAML Assertion issued for an SAP HANA instance might be able to tamper with it and alter it in a way that the digest continues to be the same and without invalidating the digital signature, this allows them to impersonate as user in HANA database and be able to read the contents in the database.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
SAP HANA Database 加密问题漏洞
漏洞描述信息
SAP HANA是德国思爱普(SAP)公司的一套高性能的实时数据分析平台。该平台提供数据查询功能,支持用户对查询实时业务数据进行查询和分析。 SAP HANA Database 中存在加密问题漏洞,该漏洞允许从SAP HANA实例获取MD5 digest签名的攻击者可能会对其进行篡改和更改,从而使digest保持不变,并且不会使数字签名失效,这允许他们在HANA数据库中模拟为用户,并能够读取数据库中的内容。以下产品及型号受到影响:SAP HANA Database 1.0, SAP HANA Databa
CVSS信息
N/A
漏洞类别
加密问题