25.01.2016  Новости, Безопасность

Исследователи компании Digital Security, специализирующейся на анализе защищенности ИТ-систем, обнаружили две критичные уязвимости в E-Business Suite, ключевом ПО для бизнеса Oracle, за что были удостоены официальной благодарности вендора. Сотрудники компании с 2008 года регулярно находят различные проблемы безопасности в продуктах известного производителя, что более десятка раз отмечалось Oracle в квартальных бюллетенях. Обе указанные уязвимости относятся к типу XXE. С помощью специально сформированных запросов с XML они позволяют читать произвольные файлы с сервера EBS. Кроме того, они дают возможность выполнять SSRF-атаки, а также DOS-атаки. Эти уязвимости сложно проэксплуатировать анонимно. Обнаруженные сотрудниками Digital Security проблемы безопасности имеют большое значение, поскольку они влияют на такие критически важные бизнес-приложения, базирующиеся на платформе E-Business Suite, как Value Chain Execution Suite, Value Chain Planning, Advanced Procurement, Supply Chain Management, Project Portfolio Management, Human Capital Management, Financial Management, Service Management, Customer Relationship Management и прочее. Эти решения, в свою очередь, хранят и обрабатывают основные корпоративные данные (HR- и финансовая информация, списки поставщиков и клиентов, и т.д.). Таким образом, в случае успешной реализации атаки, злоумышленник сможет подделать данные о количестве материальных ресурсов, изменить цены, присвоить средства и внести изменения в финансовые отчеты. В ... читать далее.