СУБД Ред База Данных
Company: РЕД СОФТТестирование безопасности системы управления базами данных Ред База Данных (далее Ред База Данных). Основная цель - выявить уязвимости, которые могут привести к эскалации привилегий до уровня администратора, нарушению конфиденциальности, целостности или доступности баз данных и информации содержащейся в ней.
Rewards are paid to individual entrepreneurs and self-employed persons
Only citizens of the following countries can participate: Russia
Program description
Скоуп
- СУБД Ред База Данных
Официально доступная последняя версия СУБД 5.Х
Параметры для входа:
Загружается предоставленная для исследования версия СУБД.
Устанавливается на локальный хост или на виртуальную машину под управлением любого гипервизора.
Хостовыми ОС могут быть:
Устанавливается на локальный хост или на виртуальную машину под управлением любого гипервизора.
Хостовыми ОС могут быть:
- РЕД ОС 7.3 и старше;
- Альт 8 СП и старше;
- Astra Linux Special Edition.
Требования к участникам
Участниками программы по поиску уязвимостей могут быть только граждане Российской Федерации.
Уровни уязвимостей и вознаграждения
| Уровень уязвимости | Примеры уязвимостей | Вознаграждение |
|---|---|---|
| Критический | SQL-инъекция (RCE через запросы) – возможность выполнить произвольный код на сервере | от 100 000 р.- до 150 000 р. |
| Критический | Удалённое выполнение кода (RCE) через уязвимости в СУБД | от 100 000 р.- до 150 000 р. |
| Критический | Аутентификация без пароля / обход аутентификации / нарушение политик многофакторной аутентификации | от 100 000 р.- до 150 000 р. |
| Критический | Привилегированные уязвимости, повышение привилегий до уровня администратора | от 100 000 р.- до 150 000 р. |
| Критический | Утечка памяти / переполнение буфера, приводящие к нарушению конфиденциальности, целостности или доступности защищаемой информации | от 100 000 р.- до 150 000 р. |
| Высокий | Небезопасная десериализация через загружаемые файлы или конфигурации СУБД | от 40 000 р.- до 75 000 р. |
| Высокий | DoS через сложные запросы / блокировки | от 40 000 р.- до 75 000 р. |
| Высокий | Чтение/запись произвольных файлов на хостовом сервере (LFI/RFI) | от 40 000 р.- до 75 000 р. |
| Высокий | Уязвимости в подключаемых плагинах из комплекта поставки СУБД | от 40 000 р.- до 75 000 р. |
| Средний | IDOR (Insecure direct object references) — небезопасная прямая ссылка на объект в SQL-запросах | от 15 000 р.- до 35 000 р. |
| Средний | Утечка метаданных / информации | от 15 000 р.- до 25 000 р. |
| Низкий | Недостаточное логирование, игнорирование заданных событий, невозможно отследить атаку | от 5 000 р.- до 15 000 р. |
| Низкий | Некорректные настройки по умолчанию для СУБД, приводящие к нарушению конфиденциальности, целостности или доступности защищаемой информации | от 5 000 р.- до 15 000 р. |
| Примечание: Конкретная сумма вознаграждения зависит от серьёзности уязвимости, её возможного влияния, а также новизны и уникальности найденной проблемы. Команда безопасности РЕД СОФТ оставляет за собой право оценить каждую уязвимость индивидуально. |
Размеры вознаграждений для исследователей:
- Критический: от 100 000 р.- до 150 000 р.
- Высокий: от 40 000 р.- до 75 000 р.
- Средний: от 15 000 р.- до 25 000 р.
- Низкий: от 5 000 р.- до 15 000 р.
Недопустимые действия
Исследователям запрещается:
- Использовать обнаруженные уязвимости.
- Публиковать сведения об обнаруженных уязвимостях без согласования с владельцем продукта.
Уязвимости, за которые вознаграждение не предусмотрено
- Отчеты, сгенерированные автоматическими сканерами безопасности без ручной проверки.
- Уязвимости, связанные исключительно с раскрытием версии ПО или конфигурации без демонстрации реального риска.
- Проблемы с SSL/TLS без явного воздействия на безопасность, например, небезопасные алгоритмы шифрования без доказательства их эксплуатации.
- Уязвимости, эксплуатацию которых предотвращают стандартные средства защиты, без обхода этих средств.
- Отчеты о DoS-уязвимостях, не приводящих к реальному влиянию на целостность и доступность.
- Уязвимости 0-day или 1-day, информация о которых уже доступна публично, или находятся в разработке.
- Теоретические атаки без доказательств их реализации.
Требования к оформлению отчета
Каждый отчет об уязвимости должен содержать следующие элементы:
- Название уязвимости.
- Версию и компоненты Ред Базы Данных, затронутые уязвимостью.
- Proof of Concept (PoC), описывающий шаги по воспроизведению уязвимости.
- Описание сценария атаки: кто может воспользоваться уязвимостью, с какой целью и как.
- (Необязательно) - Рекомендации по устранению.
Дополнительно: Скриншоты и видео могут быть приложены для более полного описания, но не заменяют PoC.
Правила взаимодействия и конфиденциальность
• Участники программы обязаны соблюдать конфиденциальность в отношении обнаруженных уязвимостей. Право на публичное раскрытие остаётся за командой безопасности РЕД СОФТ.
• При возникновении вопросов относительно найденной уязвимости участники программы обязаны предоставлять разъяснения и поддерживать контакт с командой безопасности.
• При возникновении вопросов относительно найденной уязвимости участники программы обязаны предоставлять разъяснения и поддерживать контакт с командой безопасности.