多家大厂的存储设备受第三方加密软件缺陷影响
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
多家大型厂商的存储设备受第三方加密软件中的多个缺陷影响。
本月初,西部数据更新 SanDisk SecureAccess 产品,修复可导致通过暴力攻击和字典攻击访问用户数据的多个漏洞。
SanDisk SecureAccess 最近被重命名为 SanDisk PrivateAccess。该软件允许用户加密存储在 SanDisk USB 闪盘驱动上受保护库中的文件和文件夹。
安全研究员 Sylvain Pelissier 发现,该 DataVault 用于多家厂商如西部数据(拥有SanDisk 所有权)、索尼和雷克沙,他所发现的漏洞影响这些公司的产品。Pelissier 通过逆向工程和多种技术和工具找到了可导致暴力攻击的多个弱点,它们是 CVE-2021-36750和CVE-2021-36751。
Pelissier 指出,“事实证明,最关键的派生函数是使用 MD5 的1000次迭代派生加密密钥的 PBKDF2。用于派生这些密钥的盐是常数且在所有的解决方案和厂商中被硬编码。这就使得攻击者更容易通过时间/内存取舍攻击技术(如彩虹表)猜测密码库的用户密码并复用这些表检索所有软件用户的密码。实现本身是不正确的,甚至是随机生成的唯一盐,恢复用户密码毫无费力。”
Pelissier 和 Boi Sletterink 一起在rC3 大会上发布了研究成果,后者帮助ENC 公司解决了这些漏洞。
ENC 在安全公告中指出,“DataVault 及其派生使用具有可预测盐的单向加密哈希,使其易受恶意用户的字典攻击。该软件还是用计算不充分的密码哈希,可使攻击者暴力攻击用户密码,导致用户数据遭越权访问。”
ENC 公司在今年5月份收到关于这些缺陷的通知并在12月发布 DataVault 7.2 修复了这些漏洞。索尼和西部数据之后不久发布了安全公告。研究人员表示,尚未收到雷克沙公司的响应。
推荐阅读
在线阅读版:《2021中国软件供应链安全分析报告》全文
第三方攻击在增长但风险管理跟不上
第三方组件曝多个严重漏洞,飞利浦 Vue PACS 医学成像系统受影响
第三方依赖关系的风险:利用数十个易受攻击的 NuGet包瞄准 .NET 平台
美国国会合同承包商遭勒索攻击,第三方软件安全亟需保障
微软反向 RDP 漏洞补丁不当,第三方 RDP 客户端易受攻击
老旧漏洞不修复,西部数据存储设备数据遭擦除
一年半之后,西部数据 My Cloud NAS 设备验证绕过漏洞仍未修复
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day
Apache Struts 和 Spring 开源漏洞状况的对比
Apache OpenOffice 漏洞使数千万用户易受代码执行攻击
原文链接
https://www.securityweek.com/storage-devices-major-vendors-impacted-encryption-software-flaws
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
多家大厂的存储设备受第三方加密软件缺陷影响相关推荐
- 博通Brocade漏洞影响多家大厂的存储解决方案
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 最近,博通 (Broadcom) 公司表示,其存储网络子公司 Brocade 提供的一些软件受多个漏洞影响,可能影响多家主流厂商的产品. 博通公 ...
- android下存储设备的使用
本文转自android官网,原文地址:https://source.android.google.cn/devices/storage 1.概览 1.1.存储 Android 一直在不断发展,可支持各 ...
- 多家大厂接连停产,半导体“最后一里路”面临“瘫痪”?
"6月4日,中国台湾半导体封测龙头企业京元电子发布公告称,因为疫情影响,公司开始全面停产48小时." 而事实上台湾疫情急剧恶化,停产48小时的确是"天真"了! ...
- LiveGBS流媒体平台-GBT28181国标视频平台录像存储设备录像回看解决方案
LiveGBS流媒体平台-GBT28181国标视频平台录像存储设备录像回看解决方案 1.平台概述 2.平台录像回放 2.1.设备录像 2.1.1.存储位置 2.1.1.1.下级硬件设备 2.1.1.2 ...
- 从AI、加密货币到火星任务,一种更强大、更稳定的存储设备
作者:贺佳 来源:数据实战派 所研究器件之一的显微镜图像,由两个尺寸相同的十字架组成,其中一个具有 IrMn3 柱,第二个仅由 Pt 组成.(来源:西北大学和墨西拿大学) 美国西北大学和意大利墨西拿大 ...
- solaris下使用USB 海量存储设备
第8 章• 使用USB 设备(任务) 139 从Solaris 10 1/06 发行版开始,vold 可自动挂载热插拔设备.有关更多信息,请参见第 124 页中的"vold 用于识别热插拔U ...
- norflsh nandflash之类的存储设备启动bootloader概述
1.NOR的特点是芯片内执行(XIP,eXecute In Place),这样应用程序可以直接在flash闪存内运行,不必再把代码读到系统RAM中.优点是可以直接从FLASH中运行程序,但是工艺复杂, ...
- 索尼PS5将配备超快速的存储设备:最快2020年2月亮相
距离索尼PS4游戏主机发售已经过去了5年多的时间,自该机上市以来,至今已经卖出了超过9400万台,创造了难以追赶的销量成绩.而根据此前爆料,全新的Play Station 5最早将于2020年2月亮相 ...
- 主流存储设备的现状和优缺点分析
对于大多数企业来说,无论其规模大小,都面临各种各样的数据存储挑战:如,数据呈线速增长.需要保证应用性能和可用性.保证业务连续性.需要缩短数据备份,以及怎样应对复杂和难以管理的存储基础设施等等.企业随着 ...
最新文章
- LSM 优化系列(六)-- 【ATC‘20】MatrixKV : NVM 的PMEM 在 LSM-tree的write stall和写放大上的优化
- Spring(ApplicationContextBeanFactory)
- git 上传项目到linux仓库_「成都校区」Git使用快速入门
- poj 3614 Sunscreen(优先队列+贪心)
- 数据中心、云计算、大数据之间的区别与联系
- python3.2安装tornado
- Vue项目代码改进(二)—— element-UI的消息显示时间修改
- 【渝粤教育】国家开放大学2018年秋季 1167t环境水利学 参考试题
- fasterrcnn tensorflow代码详解_pytorch目标检测代码的一些bug调试
- PHP对数组的高级遍历和操作处理方法
- ECSHOP邮件验证后送积分
- 小技巧之nvidia-smi
- app自动化之移动端测试基础知识
- html 字体样式 幼圆,设置字体样式:字号大小,字体种类,字体粗细
- Qt浅谈之三十二二维码条形码解析
- python基础-数据类型与基本操作
- Genymotion启动失败解决方案
- 重测序群体遗传进化分析之进化树构建
- People seldom do what they believe in. They do what is convenient, then repent.
- 1241.外卖店优先级