甲骨文紧急修复等同于“心脏出血”的JOLTandBleed漏洞
翻译:360代码卫士团队
甲骨文发布了一个紧急的带外安全更新解决5个漏洞,其中1个漏洞的CVSSv3评分是满分10分,还有1个是9.9分。
这些最近出现的问题影响Texedo组件中的Jolt服务器协议,该组件是很多甲骨文中间件产品的核心。
JOLTandBLEED是甲骨文产品的“心脏出血”漏洞
这五个漏洞是由网络安全公司ERPScan发现的,后者将它们统称为JOLTandBLEED漏洞,因为其中一些漏洞能造成跟“心脏出血”漏洞一样的后果。
攻击者如利用JOLTandBLEED,就能报了在基于Tuxedo的app内存中处理的数据,从而导致敏感数据泄露。
甲骨文和ERPScan公司表示,JOLTandBLEED漏洞确认影响甲骨文的PeopleSoft产品线如Campus Solutions、PeopleSoft Human Capital Management、PeopleSoft Financial Management、PeopleSoft Supply Chain Management等。
评分为满分10分的漏洞情况
最严重的问题是CVE-2017-10269(10分)和CVE-2017-10272(9.9分)。
CVE-2017-10269:攻击者无需密码跟易受攻击的app交互就能利用该漏洞。攻击者能够借此控制整个PeopleSoft系统。
CVE-2017-10272:能让攻击者有机会远程读取易受攻击的Tuxedo服务器的内存。
其它三个漏洞是CVE-2017-10266(能导致攻击者暴力破解用于Jolt协议验证的DomainPWD)、CVE-2017-10267(栈溢出)和CVE-2017-10278(堆溢出)。
ERPScan公司已发布视频,展示专家如何利用CVE-2017-10272。
这并非甲骨文在本月修复的评分达10分的唯一一个问题。
在此前的带外紧急修复中,甲骨文修复了CVE-2017-10151。它是一个被遗留到甲骨文身份管理器中的无密码管理员账户。身份管理器供企业控制员工访问网络的权限。
10月16日,甲骨文发布2017年10月的“紧急补丁更新(CPU)”更新时,修复了252个问题。不过CVE-2017-10151和JOLTandBLEED漏洞的修复并未包含在内。建议用户阅读甲骨文最新发布的带外安全警告并应用必要的更新,且安装2017年10月的CPU。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/dark-web-shops-are-leaking-ips-left-and-right/