这五个漏洞是安全公司ERPScan的研究人员所发现,其中一个漏洞可能会导致Tuxedo内存泄露,包括用户名称及密码,严重性类似于先前引发重大灾情的 HeartBleed,因而被命名为JoltlandBleed。
甲骨文周四发布安全更新,以修补PeopleSoft及底层Tuxedo Server可能导致资料外泄的五个漏洞。这批漏洞风险等级达到CVSS 10.0。
五个CVE 列出的漏洞都位于Tuxedo的Jolt组件中,Tuxedo 是 PeopleSoft 用来处理非 Java 应用程序的应用程序服务器。其中最严重的漏洞代号为 CVE-2017-10269,该漏洞为内存泄露漏洞,允许攻击者通过网络访问目标服务器上的 Jolt Web 应用程序界面,以有效接管底层的Tuxedo软件,进而从Tuxedo内存取得用户名称及密码等。
第二个漏洞CVE-2017-10272类似于2014年引发网络重大灾情的HeartBleed,因此安全公司将其命名为 JoltlandBleed。它允许攻击者从服务器上获取内存,然后利用这些信息造成更多的恶作剧和破坏。
该漏洞影响 Oracle Tuxedo 11.1.1、12.1.1、12.1.3 及 12.2.2 版,以及使用Tuxedo应用服务器的整个PeopleSoft套件,包括如人力资源管理(HCM)、财务管理(Financial Management)、供应商关系管理(SRM)、供应链管理(SCM)等,ERPScan估计超过1000个PeopleSoft app在公开网络上曝光。不过甲骨文强调 Oracle Jolt 用户端并未受到影响。
第三个漏洞CVE-2017-10266可以强制利用DomainPWD获得对数据的只读访问的密码。
第四个漏洞,CVE-2017-10267,是一个堆栈溢出漏洞,可以很容易地利用其绕过验证。
最终漏洞CVE-2017-10278是一个堆溢出漏洞,这个漏洞很难被利用,但也可以用来绕过认证。
甲骨文呼吁企业用户尽快更新最新版的软件。
编译自:https://www.theregister.co.uk/2017/11/16/oracle_peoplesoft_tuxedo_security_vulnerabilities/