В популярном ПО Oracle обнаружены опасные уязвимости

04 июня 2015 14:02


Одним из продуктов компании Oracle является Oracle PeopleSoft, это известная и популярная система ERP, число инсталляций которой превышает семь тысяч компаний. Среди пользователей Oracle PeopleSoft есть и крупные корпорации, обитающие в списке Fortune 100. Как оказалось, в данном программном обеспечении существует серьезная уязвимость, о чем сообщили специалисты Digital Security. Обнаруженная уязвимость может быть использована для кражи данных, хранящихся в PeopleSoft или даже для нарушения производственных процессов компаний.

 

Дело в том, что часть компонентов PeopleSoft доступны для подключения из интернета. И некоторые страницы, как минимум, для подачи резюме по объявлению о вакансии или для восстановления пароля, страница доступна сразу, без регистрации. Незарегистрированный пользователь, пользующийся данными модулями PeopleSoft работает из под служебной учетной записи с минимальными правами. Вся система устроена так, что при открытии из интернет страниц этих разделов, посетителю автоматически предоставляется специальный аккаунт.

 

Доступ регулирует технология с использованием TokenID — аутентификационной куки, которая генерируется алгоритмом хэширования SHA1. Как утверждают в Digital Security, злоумышленник способен за день расшифровать TokenID и воспользоваться этим для увеличения своих прав в PeopleSoft. Все что ля этого потребуется — видеокарта за $500 и меньше суток на подбор шифра. Учитывая, что Oracle PeopleSoft представляет собой сложную систему из множества модулей и отдельных приложений, злоумышленник, взломав самый уязвимый компонент, получает доступ и ко всем остальным частям программного комплекса.

 

Oracle PeopleSoft 

 

А что именно будет впоследствии атаковано, зависит от целей хакеров, это может быть и кража информации, мошенничество или саботаж работы компании. Например, изменив информацию о состоянии агрегатов или работающих механизмов на производстве, можно вызвать аварию, срабатывание или блокирование систем защиты. Если злоумышленники исказят сведения состоянии. Степени выполнения этапов проекта, руководители компании будут введены в заблуждение и примут неверные решения. Кроме этого большая опасность похищения личных данных сотрудников предприятия (номера карточек, банковские реквизиты, паспортные данные, сведения о социальном страховании).

 

Данную опасность усугубляет популярность и репутация Oracle PeopleSoft во всем мире и США (американские компании составляют 72% пользователей этой ERP). По мнению специалистов Digital Security, положение дел с безопасностью у Oracle PeopleSoft значительно хуже, чем у SAP пятилетней давности, что подтверждают даже публично подтвержденные инциденты.





Обсудить материал (0)


Предыдущая статья

Новинки, представленные на Google I/O 2015
Следующая статья

На рынке Росиии Windows-смартфоны обогнали iPhone



У Windows больше не будет броских имен

Сбившись с графика с Windows 10 April 2018 Update, компания Microsoft решила отказаться от традиции «сезонных» имен крупных обновлений своей операционной системы. Новая версия Windows 1803, как следует из цифрового кода, должна была выйти в марте 2018 года. Однако компания задержала это обновления, которое стало поступать на компьютеры только 30 апреля.

Читать далее...

Сергей Брин в ежегодном письме поставил на первое место ИИ

Один из основателей Google, Сергей Брин традиционно обратился к сотрудникам компании через ежегодное корпоративное письмо. На этот раз создатель поискового гиганта большей частью писал о искусственном интеллекте и машинном обучении. Эти технологии, появившиеся еще в сороковые годы 20 века в результате исследований работы мозга, теперь нашли широкое применение.

Читать далее...

Веб-интерфейс и функции Gmail скоро изменятся

Компания Google известила пользователей своего бизнес пакета G Suite о предстоящем редизайне сервиса электронной почты Gmail. Измениться как внешний вид веб-почты, так и набор функций. Ожидается много интересных новинок, в том числе возможность откладывать письма (через заданное время они снова будут показаны во входящих как не прочитанные) и доступ к Календарю Google из веб-интерфейса почты. Также сам дизайн Gmail будет приведен в точное соответствие канонов Material Design.

Читать далее...

Google придумала как обходить национальные блокировки приложений

Среди сервисов, жизненно важных обычным пользователям гаджетов под управлением Android одним из основных является магазин приложений. Абсолютное большинство обладателей планшетов и смартфонов устанавливают приложения только из Google Play. Это не только магазин программ, но и книг, музыки, фильмов. Совершенствуя техническую составляющую своего магазина приложений, в Google нашел способ решить одну досадную политическую проблему.

 

Читать далее...

Админы ВК нашли, кто виноват в утечке данных. Это VPN

Сотрудники крупнейшей социальной сети Рунета изучили случаи недавно произошедших утечек содержимого личных сообщений пользователей и пришли к выводу что причина в непроверенных VPN-сервисах. По мнению представителей Вконтакте несанкционированного доступа данных произошел на этапе шифрованного подключения к интернету. Некоторые провайдеры VPN могут сохранять данные пользователей и передавать их третьим лицам, например, рекламным агентствам.

Читать далее...

Новые аппаратные уязвимости в современных процессорах

Ставшими широко известными в январе уязвимости спекулятивных вычислений Meltdown и Spectre оказались не единственной серьезной проблемой процессоров крупнейших производителей Intel и AMD. Совместное исследование ученых из Принстонского университета и компании NVIDIA выявило новые способы атак на основании предсказания ветвления кода и доступа к защищенной памяти. Эти атаки можно применять почти ко всем современным процессорам.

 

Читать далее...

Google сохранил много возможностей отслеживания пользователей Android

В настройках безопасности аккаунта в Google у пользователя Android есть опция «История местоположения». По умолчанию она отключена, но если пользователь ее активирует (например, чтобы подробно сохранить историю своего путешествия), то Google будет получать огромный объем информации, не зависимо от подключения смартфона к мобильной сети. В прошлом году уже появлялась информация об отслеживании пользователей Android по вышкам мобильной связи. Теперь журналисты и интернет-издания Quartz решили поставить эксперимент с целью определить, какие данные о пользователе передаются при включенной истории местоположений.

Читать далее...

Немецкие исследователи нашли уязвимость в секретных чатах WhatsApp и Signal

На проходящей в Швейцарии конференции Real World Crypto специалисты Рурского университета сообщили об уязвимостях в механизмах работы групповых чатов WhatsApp и Signal. Недостатки протоколов позволяют посторонним добавиться и читать такие чаты. При этом наличие сквозного шифрования уже никак не защищает от компрометации мессенджеров. Более серьезная проблема у WhatsApp, но и в Threema и любимом Сноуденом мессенджере Signal также есть уязвимости.

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов