Российские исследователи разоблачили Oracle

Discussion in 'Мировые новости. Обсуждения.' started by Solitude, 26 Feb 2013.

  1. Solitude

    Solitude Member

    Joined:
    29 Aug 2011
    Messages:
    445
    Likes Received:
    23
    Reputations:
    1
    Российские исследователи разоблачили Oracle

    Американская компания Oracle частенько хитрит и занижает CVSS-рейтинг опасности обнаруженных уязвимостей. Например, российские исследователи из компании Digital Security два года назад частично раскрыли опасную уязвимость в ERP-системе JD Edwards Enterprise One, хотя она была обнаружена даже раньше: ещё три года назад. С помощью этой уязвимости любой легитимный пользователь ERP при желании может получить полный доступ к системе.

    В январе 2013 года эта уязвимость была закрыта и оформлена как CVE-2012-1678. Но компания Oracle присвоила ей рейтинг всего лишь 3,5 балла, то есть низкий рейтинг опасности. Этот факт возмутил специалистов из компании Digital Security .

    «По непонятным причинам Oracle занизила CVSS-рейтинг опасности данной уязвимости (что, кстати, происходит уже не в первый раз), — говорит Александр Поляков, технический директор Digital Security. — В то время как для стандартных уязвимостей этот рейтинг показывает адекватные результаты, для некоторых нетипичных уязвимостей он оказывается не совсем точным. Учитывая, что разработчик может сжульничать, например, указав частичное влияние на КЦД вместо полного, критичной уязвимости в итоге присваивается рейтинг 3,5 (низкая критичность). В действительности же уязвимость, позволяющую любому пользователю ERP-системы получить доступ ко всем данным и присвоить себе любые права, сложно назвать низкой».

    В связи с этим компания Digital Security опубликовала подробную информацию о том, как эксплуатировать данную уязвимость, чтобы наглядно продемонстрировать её высокую опасность.

    25.02.2013
    http://www.xakep.ru/post/60179/
     
Loading...