VU#706118: Программное обеспеч... Заметка

VU#706118: Программное обеспечение Workhorse Software Services, Inc. до версии 1.9.4.48019, стандартная установка уязвима к множеству проблем.

Программное обеспечение для муниципального учета Workhorse Software Services, выпущенное до версии 1.9.4.48019, содержит критические конструктивные недостатки. Эти недостатки позволяют осуществлять несанкционированный доступ к чувствительным муниципальным данным и облегчают их выведение. Одной из основных уязвимостей является хранение информации о подключении к базе данных в открытом виде вместе с исполняемым файлом приложения. Это позволяет лицам с доступом на чтение к директории потенциально восстановить учетные данные SQL, если используется аутентификация SQL. Кроме того, программное обеспечение имеет функцию создания резервной копии базы данных без аутентификации, доступную даже с экрана входа. Эта резервная копия создает незашифрованный архив ZIP, содержащий файл .bak, который можно восстановить без пароля. Злоумышленник может использовать эти уязвимости, например, получив физический доступ к рабочей станции или используя вредоносное ПО. Воздействие такого нападения может привести к выведению всей базы данных. Это может привести к раскрытию чувствительных личных данных и полных финансовых отчетов муниципалитета. Также существует значительный риск повреждения данных, подрыва аудиторских следов и компрометации финансовых операций. CERT/CC настоятельно рекомендует обновиться до версии 1.9.4.48019 немедленно. Дополнительные стратегии смягчения включают ограничение доступа к директории приложения и включение шифрования SQL Server с аутентификацией Windows.