В популярном ПО Oracle обнаружены опасные уязвимости

04 июня 2015 14:02


Одним из продуктов компании Oracle является Oracle PeopleSoft, это известная и популярная система ERP, число инсталляций которой превышает семь тысяч компаний. Среди пользователей Oracle PeopleSoft есть и крупные корпорации, обитающие в списке Fortune 100. Как оказалось, в данном программном обеспечении существует серьезная уязвимость, о чем сообщили специалисты Digital Security. Обнаруженная уязвимость может быть использована для кражи данных, хранящихся в PeopleSoft или даже для нарушения производственных процессов компаний.

 

Дело в том, что часть компонентов PeopleSoft доступны для подключения из интернета. И некоторые страницы, как минимум, для подачи резюме по объявлению о вакансии или для восстановления пароля, страница доступна сразу, без регистрации. Незарегистрированный пользователь, пользующийся данными модулями PeopleSoft работает из под служебной учетной записи с минимальными правами. Вся система устроена так, что при открытии из интернет страниц этих разделов, посетителю автоматически предоставляется специальный аккаунт.

 

Доступ регулирует технология с использованием TokenID — аутентификационной куки, которая генерируется алгоритмом хэширования SHA1. Как утверждают в Digital Security, злоумышленник способен за день расшифровать TokenID и воспользоваться этим для увеличения своих прав в PeopleSoft. Все что ля этого потребуется — видеокарта за $500 и меньше суток на подбор шифра. Учитывая, что Oracle PeopleSoft представляет собой сложную систему из множества модулей и отдельных приложений, злоумышленник, взломав самый уязвимый компонент, получает доступ и ко всем остальным частям программного комплекса.

 

Oracle PeopleSoft 

 

А что именно будет впоследствии атаковано, зависит от целей хакеров, это может быть и кража информации, мошенничество или саботаж работы компании. Например, изменив информацию о состоянии агрегатов или работающих механизмов на производстве, можно вызвать аварию, срабатывание или блокирование систем защиты. Если злоумышленники исказят сведения состоянии. Степени выполнения этапов проекта, руководители компании будут введены в заблуждение и примут неверные решения. Кроме этого большая опасность похищения личных данных сотрудников предприятия (номера карточек, банковские реквизиты, паспортные данные, сведения о социальном страховании).

 

Данную опасность усугубляет популярность и репутация Oracle PeopleSoft во всем мире и США (американские компании составляют 72% пользователей этой ERP). По мнению специалистов Digital Security, положение дел с безопасностью у Oracle PeopleSoft значительно хуже, чем у SAP пятилетней давности, что подтверждают даже публично подтвержденные инциденты.





Обсудить материал (0)


Предыдущая статья

Новинки, представленные на Google I/O 2015
Следующая статья

На рынке Росиии Windows-смартфоны обогнали iPhone



Перебежчик из Google в Uber спрятался за пятую поправку

Журналисты The New York Times получили доступ к документам суда в котором рассматриваются претензии Google к Uber по поводу кражи технологии беспилотных автомобилей. Из документов следует что Энтони Левандовский решил воспользоваться пятой поправкой к конституции США, которая дает право не свидетельствовать против самого себя. Поисковый гигант обвиняет своего бывшего сотрудника в том, что он, перед тем как уволиться из Google Waymo, скопировал на свой ноутбук 14 000 внутренних технических документов, представляющих коммерческую тайну.

 

Читать далее...

Гендиректор Baidu: эра мобильного интернета закончилась

Основатель и бессменный руководитель китайского поисковика Baidu, Робин Ли заявил о кардинальном изменении приоритетов компании. Теперь веб-разработки отойдут на второй план, а главным направлением, на котором сосредоточится интернет-гигант из поднебесной, станет искусственный интеллект. По информации агентства Bloomberg в конце прошлого года тысячи переводчиков в офисах Baidu занялись обработкой иностранной документации и статей с целью создать большую коллекцию языковых пар (несколько миллионов). В результате напряженного труда, через месяц в распоряжении китайской компании появилась база для разработки нового онлайн-переводчика.

 

Читать далее...

Apple намерена увеличить персонал и сосредоточить усилия на искусственном интеллекте

Компания Apple намерена сосредоточить усилия на поиске специалистов в области машинного обучения и искусственного интеллекта, и сконцентрировать их в своем офисе в Сиэтле. В этом городе на самом северо-западе США находятся офисы и штаб-квартиры крупных технологических компаний (например, Amazon, Microsoft) и молодых стартапов. Кроме этого, тут же расположены институт ИИ им. Аллена и знаменитая кафедра информатики Вашингтонского университета. Теперь местному офису Apple будет назначена важная роль в гонке за совершенствование ИИ, в которую в прошлом году включилась Apple. 

 

Читать далее...

Новая утечка в АНБ, психически больной похитил 50 Тб

С США произошла новая кража данных, собранных и используемых спецслужбами. Агентство национальной безопасности обвинило внештатного сотрудника в краже 50 Тб секретной информации. Это похищение правительственных данных считается самым крупным в истории. Обвиняемый – Гарольд Мартин, работник агентства «Booz, Allen, Hamilton». Данная организация сотрудничает с АНБ и другими спецслужбами США, предоставляя им услуг на миллиарды долларов ежегодно. В этой же компании работал и Эдвард Сноуден, похитивший и опубликовавший огромное количество секретной информации АНБ. 

 

Читать далее...

Против Apple подали коллективный иск и требования прекратить продажи iPhone

Группа людей, среди которых есть пострадавших в различных происшествиях, подали иск в суд против Apple и требуют запретить продажи смартфонов компании на территории Калифорнии. Основная претензия к Apple — отсутствие ограничений коммуникационных возможностей iPhone. В результате водители, злоупотребляющие смартфоном за рулем, создают опасные ситуации на дороге и становятся виновниками ДТП. Этот коллективный иск подан в окружной суд Лос-Анжелеса юридической компанией MLG Automotive Law. 

 

Читать далее...

Foxconn намерена максимально избавиться от работников-людей

Крупнейший контрактный производитель Hon Hai Precision Industry, обеспечивающий выпуск разнообразных гаджетов на заказ для многих знаменитых брендов, намерен снизить зависимость от ручного труда живых работников. Известная своим сотрудничеством с Apple, компания Foxconn приняло решение заменить большую часть человеческого персонала на своих заводах роботами. Руководитель подразделения компании, занимающегося автоматизацией и робототехникой, описал три этапа внедрения роботов на производстве. 

 

Читать далее...

Evernote изменила правила, теперь личная информация пользователей доступна сотрудникам

Многие пользователи популярного сервиса заметок Evernote возмущены изменениями правил использования программы, а именно, новой политики конфиденциальности, которая позволяет сотрудникам компании читать заметки пользователей. На фоне нарастающего сражения между защитниками приватности и компаниями, которые хотят знать о своих клиентах все и даже больше, особенно странно выглядит подход Evernote к доступу к пользовательской информации, для хранения которой программа и была создана.

 

Читать далее...

Почти любой ПК с подключенными наушниками позволяет следить за пользователем

В широко распространенном аудио кодеке компании Realtek есть функция позволяющая превратить подключенные к компьютеру наушники в микрофон. Это стандартная функция мало известна, присутствует на большом количестве компьютеров и не может быть отключена. Данный факт выяснили и подтвердили ученые из лаборатории кибербезопасности университета Бен-Гуриона в Израиле. Они создали образец вредоносной программы, способной подключиться к наушникам и снимать через них звуки, а также сжимать аудиоинформацию и передавать на удаленный сервер. Подобный инструмент могли создать для своих целей хакеры. От такой прослушки не защищены даже те пользователи, которые заклеивают камеры или отключают микрофон.

 

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов