您当前的位置是:  首页 > 技术 > 企业通信 > 技术 > 数据网络 > 技术动态 >
技术 - 企业通信 - 数据网络技术频道
  首页 > 技术 > 企业通信 > 技术 > 数据网络 > 技术动态 > 甲骨文紧急修补PeopleSoft、Tuxedo重大漏洞JoltlandBleed

甲骨文紧急修补PeopleSoft、Tuxedo重大漏洞JoltlandBleed

2017-11-17 13:47:09   作者:   来源:CTI论坛   评论:0  点击:


  这5个漏洞是安全公司ERPScan的研究人员所发现,其中一个漏洞可能导致Tuxedo记忆体外泄重要资讯,包括连线资讯、用户名称及密码,严重性类似先前引发重大灾情的HeartBleed,因而被命名为JoltlandBleed。
  甲骨文周四紧急释出安全更新,以修补PeopleSoft及底层Tuxedo Server可能导致重要资料外泄的5个重大漏洞。
  这项5项漏洞是由安全公司ERPScan研究人员发现,位於Oracle Tuxedo应用服务器软件中的Jolt协定。其中最严重的是代号CVE-2017-10269,该漏洞为记忆体泄露漏洞,发生在Jolt协定处理器(Jolt Handler)程式码中,使骇客可以透过向Jolt Server HTTP连接埠传送大型网络封包加以开采,进而从Tuxedo记忆体取得明码重要资讯,包括连线资讯、用户名称及密码等。
  由於该漏洞类似2014年引发网络重大灾情的HeartBleed,因此安全公司将之命名为JoltlandBleed。这批漏洞风险等级达CVSS 10.0。
  该漏洞影响Oracle Tuxedo 11.1.1、12.1.1、12.1.3及12.2.2版,以及使用Tuxedo应用服务器的整个PeopleSoft套件,包括如人力资源管理(HCM)、财务管理(Financial Management)、供应商关系管理(SRM)、供应链管理(SCM)等,ERPScan估计超过1000个PeopleSoft app在公开网际网络上曝险。不过甲骨文强调Oracle Jolt用户端并未受到影响。
  其他4项漏洞为CVE-2017-10272 、CVE-2017-10267、CVE-2017-10278 和CVE-2017-10266,分别可造成记忆体泄露、记忆体缓冲溢位攻击、以及Jolt协定的DomainPWD密码被暴力破解。
  甲骨文也呼吁企业用户尽速升级到最新版软件。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题