甲骨文紧急修复 PeopleSoft Tuxedo 中的五大漏洞

释放双眼,带上耳机,听听看~!

文章转载开源中国

这五个漏洞是安全公司ERPScan的研究人员所发现,其中一个漏洞可能会导致Tuxedo内存泄露,包括用户名称及密码,严重性类似于先前引发重大灾情的 HeartBleed,因而被命名为JoltlandBleed。

甲骨文周四发布安全更新,以修补PeopleSoft及底层Tuxedo Server可能导致资料外泄的五个漏洞。这批漏洞风险等级达到CVSS 10.0。 

五个CVE 列出的漏洞都位于Tuxedo的Jolt组件中,Tuxedo 是 PeopleSoft 用来处理非 Java 应用程序的应用程序服务器。其中最严重的漏洞代号为 CVE-2017-10269,该漏洞为内存泄露漏洞,允许攻击者通过网络访问目标服务器上的 Jolt Web 应用程序界面,以有效接管底层的Tuxedo软件,进而从Tuxedo内存取得用户名称及密码等。 

第二个漏洞CVE-2017-10272类似于2014年引发网络重大灾情的HeartBleed,因此安全公司将其命名为 JoltlandBleed。它允许攻击者从服务器上获取内存,然后利用这些信息造成更多的恶作剧和破坏。 

该漏洞影响 Oracle Tuxedo 11.1.1、12.1.1、12.1.3 及 12.2.2 版,以及使用Tuxedo应用服务器的整个PeopleSoft套件,包括如人力资源管理(HCM)、财务管理(Financial Management)、供应商关系管理(SRM)、供应链管理(SCM)等,ERPScan估计超过1000个PeopleSoft app在公开网络上曝光。不过甲骨文强调 Oracle Jolt 用户端并未受到影响。

第三个漏洞CVE-2017-10266可以强制利用DomainPWD获得对数据的只读访问的密码。

第四个漏洞,CVE-2017-10267,是一个堆栈溢出漏洞,可以很容易地利用其绕过验证。

最终漏洞CVE-2017-10278是一个堆溢出漏洞,这个漏洞很难被利用,但也可以用来绕过认证。 

甲骨文呼吁企业用户尽快更新最新版的软件。

编译自:https://www.theregister.co.uk/2017/11/16/oracle_peoplesoft_tuxedo_security_vulnerabilities/

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

PostgreSQL 10.1 等六个版本发布,修复 3 个安全漏洞

2017-11-10 11:12:22

安全漏洞

开源软件安全现状报告:2017 代码漏洞激增创历史新高

2017-11-19 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索