当前位置:安全资讯 >> 全文

甲骨文紧急修复等同于“心脏出血”的JOLTandBleed漏洞

发布时间:2017-11-17 21:56 标签: 甲骨文,CVSS,紧急
分享到 0

甲骨文发布了一个紧急的带外安全更新解决5个漏洞,其中1个漏洞的CVSSv3评分是满分10分,还有1个是9.9分。

这些最近出现的问题影响Texedo组件中的Jolt服务器协议,该组件是很多甲骨文中间件产品的核心。

JOLTandBLEED是甲骨文产品的“心脏出血”漏洞

这五个漏洞是由网络安全公司ERPScan发现的,后者将它们统称为JOLTandBLEED漏洞,因为其中一些漏洞能造成跟“心脏出血”漏洞一样的后果。

攻击者如利用JOLTandBLEED,就能报了在基于Tuxedoapp内存中处理的数据,从而导致敏感数据泄露。

甲骨文和ERPScan公司表示,JOLTandBLEED漏洞确认影响甲骨文的PeopleSoft产品线如Campus SolutionsPeopleSoft Human Capital ManagementPeopleSoft Financial ManagementPeopleSoft Supply Chain Management等。

评分为满分10分的漏洞情况

最严重的问题是CVE-2017-1026910分)和CVE-2017-102729.9分)。

CVE-2017-10269:攻击者无需密码跟易受攻击的app交互就能利用该漏洞。攻击者能够借此控制整个PeopleSoft系统。

CVE-2017-10272:能让攻击者有机会远程读取易受攻击的Tuxedo服务器的内存。

其它三个漏洞是CVE-2017-10266(能导致攻击者暴力破解用于Jolt协议验证的DomainPWD)、CVE-2017-10267(栈溢出)和CVE-2017-10278(堆溢出)。

ERPScan公司已发布视频,展示专家如何利用CVE-2017-10272

这并非甲骨文在本月修复的评分达10分的唯一一个问题。

在此前的带外紧急修复中,甲骨文修复了CVE-2017-10151。它是一个被遗留到甲骨文身份管理器中的无密码管理员账户。身份管理器供企业控制员工访问网络的权限。

1016日,甲骨文发布201710月的“紧急补丁更新(CPU)”更新时,修复了252个问题。不过CVE-2017-10151JOLTandBLEED漏洞的修复并未包含在内。建议用户阅读甲骨文最新发布的带外安全警告并应用必要的更新,且安装201710月的CPU

 

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/oracle-products-affected-by-critical-joltandbleed-vulnerabilities/
参与讨论,请先 登录 | 注册

用户评论