Специалистами компании Мастердом в безопасности платформы "Парус 8.хх" была обнаружена критическая дыра. Как оказалось в разделе "Пользовательские процедуры" все неименнованные блоки (код в формате PL/SQL хранимый в программе, а не в СУБД в виде процедур и функций) выполняются с администраторскими правами.
То есть, если у пользователя есть право создавать неименованный блок, то он может напрямую корректировать таблицу прав и дать себе любые права. Надо ли говорить к каким последствиям это может привести?
Официально корпорация "Парус" никак не комментирует случившееся, а неофициальные высказывания рекомендуют не давать рядовым пользователям права на создание неименованных блоков.
Комментарии
3"неименнованные блоки" хранятся в СУБД и являются привелегией Администратора.