SAP Hana heeft probleem met encryptie
Alexander Polyakov, CTO van ERPscan wees er op dat SAP Hana standaard dezelfde encryptiesleutel gebruikt voor het versleutelen van inloggegevens en root keys op alle installaties. Dat maakt het voor kwaadwillende wel erg makkelijk toegang te krijgen tot deze gegevens en daarmee tot aal data in het systeem. De standaard sleutel wordt alleen vervangen door een andere wanneer de administrator daar voor actie onderneemt. In praktijk blijkt dat vrijwel nergens te gebeuren, concludeerde Polyakov uit een aantal penetratietests.
Hetzelfde probleem doet zich voor bij SAP's mobiele platform waarbij het configuratiebestand altijd met dezelfde sleutel wordt beveiligd.
ERPscan is een IT-beveiliger die zich specifiek richt op het aanbod aan Enterprise Resource Planning (ERP)-software. Het bedrijf bracht al eerder kwetsbaarheden in SAP Hana aan het licht.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee