SKY-net

Специалисты из исследовательской лаборатории DSecRG компании Digital Security опубликовали подробности об уязвимостях, обнаруженных в приложениях бизнес-аналитики Oracle BI, которое используется во множестве крупных компаний.

В частности, в Oracle BI обнаружены следующие уязвимости: PL/SQL-инъекция в процедуре WB_OLAP_AW_SET_SOLVE_ID; PL/SQL-инъекция в процедуре WB_OLAP_AW_REMOVE_SOLVE_ID. Согласно опубликованным данным, уязвимости позволяют легитимному пользователю системы Oracle BI повысить свои привилегии до административного уровня, а также получить доступ к операционной системе и ко всем критичным для бизнеса данным.

«Патч для закрытия уязвимости вышел в апреле, но мы решили дать пользователям ещё один месяц на установку данного обновления, прежде чем опубликовывать код эксплоита», — сообщил Александр Поляков, технический директор Digital Security и руководитель исследовательского центра DSecRG. По его словам, уязвимости в Oracle BI были обнаружены в рамках исследований в области безопасности бизнес-приложений и разработки автоматизированного сканера безопасности ERPScan, предназначенного для аудита защищённости бизнес-приложений, который на данный момент реализован для аудита системы SAP.

www.securitylab.ru

Опубликовано 09.06.2011 14:21 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• В Oracle - новый “ответственный за безопасность”
• Digital Security: «Безопасность Oracle глазами аудитора: нападение и защита»
• Oracle готовит к выпуску 27 “заплаток”
• Oracle готовит к выпуску 41 патч
• Oracle выпустит 51 исправление для своих продуктов