Обнаружены опасные уязвимости в продуктах Oracle

11.11.2014

Компания Digital Security, предоставляющая консалтинговые услуги в области ИБ, сообщает об обнаружении ряда опасных уязвимостей в продуктах Oracle PeopleSoft и Oracle Weblogic Server. Данные бреши были выявлены сотрудниками Digital Security в рамках продолжительного исследования безопасности популярных ERP-систем.

Уязвимость в Oracle Weblogic Server позволяет повысить привилегии и добиться выполнения произвольного кода на сервере в конфигурациях, типичных для связки PeopleSoft, установленного на Weblogic. С ее помощью злоумышленники могут полностью скомпрометировать систему. А с учетом того, что многие решения PeopleSoft «выставляются» наружу (чаще всего HRMS), возможные последствия представляются еще более критичными.

Специалисты компании направили уведомление о найденных уязвимостях в Oracle, и в октябре вендор закрыл их при помощи специальных патчей: http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html.

Эксперты Digital Security настоятельно рекомендуют установить указанные обновления ввиду высокой степени критичности уязвимостей.

Детали других брешей, обнаруженных специалистами Digital Security, пока не раскрываются. Подробные результаты исследования Digital Security, посвященного Oracle PeopleSoft, будут представлены через полгода, в связи с присутствием ряда еще не закрытых уязвимостей, а также необходимостью защитить пользователей системы, которые не установили обновления.

Oracle Weblogic Server – один из самых распространенных коммерческих java-серверов, входит в линейку флагманских продуктов компании Oracle.

Oracle PeopleSoft – ERP-система компании PeopleSoft, поглощенной Oracle в 2005 г., но продолжающей развиваться. В линейку продуктов PeopleSoft входят HRMS-, CRM-, FMS-, SCM-решения. Продукты PeopleSoft широко распространены, особенно в США.