Эксперты Positive Technologies обнаружили уязвимости в решении Oracle Siebel CRM Компания Positive Technologies провела масштабное исследование безопасности Oracle Siebel CRM - системы управления взаимоотношениями с клиентами, которая лидирует по количеству внедрений. Данное решение используют свыше 5 млн человек и более 4500 крупнейших международных компаний энергетической, телекоммуникационной, промышленной и других отраслей. По результатам проведенной работы в системе контроля защищенности и соответствия стандартам MaxPatrol в 2014 году появится полноценная поддержка этой важной платформы. В ходе исследования защищенности Oracle Siebel CRM эксперты выявили множественные проблемы безопасности, способные привести к удаленному выполнению команд, доступу к внутренним ресурсам сети и файловой системе, отказу в обслуживании и раскрытию важных данных. Уязвимости CVE-2013-3841, CVE-2013-5761, CVE-2013-3840, CVE-2013-1543, CVE-2013-5867 обнаружены в Oracle Siebel CRM версий 8.1.1 и 8.2.2, а также более ранних. Кроме того, в старейшей и наиболее известной в мире СУБД Oracle Database была обнаружена уязвимостьCVE-2013-5771, которая позволяет злоумышленникам получить доступ к содержимому удаленных ресурсов и проводить атаки, направленные на отказ в обслуживании. Данной проблеме подвержены версии Oracle Database 10.2.0.1.0, 11.1.0.7, 11.2.0.2, 11.2.0.3, 12.1.0.1 и более ранние. Стоит отметить, что в середине октября текущего года было представлено кумулятивное обновление безопасности Critical Patch Update (CPU), исправляющее эти и другие ошибки в различных продуктах Oracle. Проверки на наличие всех выявленных уязвимостей включаются в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol, а часть этих проблем безопасности обнаруживается эвристическими механизмами MaxPatrol и без обновления базы знаний продукта. «Positive Technologies активно развивает поддержку бизнес-приложений и ERP-систем в своих продуктах. В настоящее время к системам SAP, Oracle EBS добавляется поддержка Oracle Siebel CRM. Ключевой особенностью этой системы является значительная ее интегрированность в бизнес-процессы и большое количество связей с другими корпоративными приложениями. К сожалению, из-за сложности системы вопросы ее безопасности остаются, как правило, в стороне. Наша задача — помочь компаниям оценить и повысить уровень защищенности критически важных систем», — отметил Алексей Юдин, руководитель отдела безопасности баз данных и бизнес-приложений Positive Technologies. Раздел: информационная безопасность Дата: 19-12-2013 |
№8 - 2013
В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
|