Специалисты из исследовательской лаборатории DSecRG компании Digital Security опубликовали подробности уязвимостей, обнаруженных ими в приложении бизнес-аналитики — Oracle BI, которое используется во множестве крупных компаний. Уязвимости позволяют легитимному пользователю системы бизнес-аналитики повысить своим привилегии до административного уровня, а также получить доступ к операционной системе и ко всем критичным для бизнеса данным.

«Патч для закрытия уязвимости вышел в апреле, но мы решили дать пользователям ещё один месяц на установку данного обновления, прежде чем опубликовывать код эксплоита.
Данное исследование проводилось в рамках исследований в области безопасности бизнес приложений и разработки автоматизированного сканера безопасности ERPScan, нацеленного на аудит защищённости бизнес-приложений, который на данный момент реализован для аудита системы SAP» — прокомментировал Александр Поляков, технический директор Digital Security и руководитель исследовательского центра DSecRG.

Подробности об уязвимостях доступны на сайте http://erpscan.ru и 

http://erpscan.ru/advisories/dsecrg-11-021-oracle-bi-%E2%80%94-wb_olap_aw_remove_solve_id-%E2%80%93-%D0%BF%D0%BE%D0%B2%D1%8B%D1%88%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BF%D1%80%D0%B8%D0%B2%D0%B8%D0%BB%D0%B5%D0%B3%D0%B8%D0%B9/

http://erpscan.ru/advisories/dsecrg-11-020-oracle-bi-%E2%80%94-wb_olap_aw_set_solve_id-%E2%80%93-%D0%BF%D0%BE%D0%B2%D1%8B%D1%88%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BF%D1%80%D0%B8%D0%B2%D0%B8%D0%BB%D0%B5%D0%B3%D0%B8%D0%B9/

Автор Ольга Юрова

Стала доступна для скачивания новая версия СУБД Oracle 11g Release 2. В новой версии появились нововведения, касающиеся повышения отказоустойчивости системы при помощи технологии Real Application Clusters (RAC), позволяющей развертывать базы данных на нескольких серверах одновременно. Кроме того было внесено несколько изменений, коснувшихся повышения безопасности конфигурации по умолчанию, а также достижения соответствия стандартам безопасности, в частности PCI DSS. Одно из самых интересных обновлений, касающихся PCI DSS, заключается в поддержке автоматической смены мастер-ключа шифрования при использовании TDE, что позволяет соответствовать требованию 3.6.4 "Periodic cryptographic key changes" стандарта, не прибегая к ручной смене или установке дополнительных средств.

Следует отметить, что теперь при установке СУБД в конфигурации по умолчанию (в случае использования Database Configuration Assistant) будут установлена требуемая парольная политика, а также включён аудит системных событий. Подробнее об этом и о других изменениях, связанных с безопасностью, вы сможете прочитать в ближайшее время в подробном обзоре на нашем ресурсе.

Книга является первым исследованием, написанным отечественным автором, которое посвящено проблеме безопасности СУБД Oracle. Материал книги основан на практическом опыте автора, полученном им в результате проведения тестов на проникновение, анализе защищённости бизнес-приложений и обширной исследовательской деятельности в области безопасности СУБД.

Автор книги - Александр Поляков, ведущий аудитор информационной безопасности компании Digital Security, является одним из основателей и руководителем исследовательского центра Digital Security Research Group [DSecRG], занимающегося поиском и анализом уязвимостей приложений и систем. Помимо этого, Александр входит в состав Экспертного Совета Сообщества PCIDSS.RU, а также является известным экспертом по безопасности бизнес-приложений, обнаружившим и опубликовавшим информацию о большом количестве уязвимостей в приложениях таких производителей, как Oracle, SAP и др.

Книга предназначена для специалистов по безопасности, сетевых администраторов, разработчиков и администраторов баз данных, а также всех тех, кто интересуется вопросами информационной безопасности.

Следует отметить, что второй части книги помимо различных методов защиты СУБД Oracle затронуты вопросы соответствия требованиям стандарта PCI DSS.

«Я уверен, что эта книга, основанная исключительно на практическом опыте автора из DSecRG, вызовет у вас безусловный интерес, предоставив обширный материал для размышлений о специфике защищенности систем управления базами данных», отметил Илья Медведовский, к.т.н., директор компании Digital Security.

Приобрести книгу можно в крупнейших книжных магазинах на территории РФ и интернет-магазинах.

Автор Сергей Шустиков