甲骨文周四緊急釋出安全更新,以修補PeopleSoft及底層Tuxedo Server可能導致重要資料外泄的5個(gè)重大漏洞。
這項5項漏洞是由安全公司ERPScan研究人員發(fā)現,位於Oracle Tuxedo應用服務(wù)器軟件中的Jolt協(xié)定。其中最嚴重的是代號CVE-2017-10269,該漏洞為記憶體泄露漏洞,發(fā)生在Jolt協(xié)定處理器(Jolt Handler)程式碼中,使駭客可以透過(guò)向Jolt Server HTTP連接埠傳送大型網(wǎng)絡(luò )封包加以開(kāi)采,進(jìn)而從Tuxedo記憶體取得明碼重要資訊,包括連線(xiàn)資訊、用戶(hù)名稱(chēng)及密碼等。
由於該漏洞類(lèi)似2014年引發(fā)網(wǎng)絡(luò )重大災情的HeartBleed,因此安全公司將之命名為JoltlandBleed。這批漏洞風(fēng)險等級達CVSS 10.0。
該漏洞影響Oracle Tuxedo 11.1.1、12.1.1、12.1.3及12.2.2版,以及使用Tuxedo應用服務(wù)器的整個(gè)PeopleSoft套件,包括如人力資源管理(HCM)、財務(wù)管理(Financial Management)、供應商關(guān)系管理(SRM)、供應鏈管理(SCM)等,ERPScan估計超過(guò)1000個(gè)PeopleSoft app在公開(kāi)網(wǎng)際網(wǎng)絡(luò )上曝險。不過(guò)甲骨文強調Oracle Jolt用戶(hù)端并未受到影響。
其他4項漏洞為CVE-2017-10272 、CVE-2017-10267、CVE-2017-10278 和CVE-2017-10266,分別可造成記憶體泄露、記憶體緩沖溢位攻擊、以及Jolt協(xié)定的DomainPWD密碼被暴力破解。
甲骨文也呼吁企業(yè)用戶(hù)盡速升級到最新版軟件。
