甲骨文紧急修复 PeopleSoft Tuxedo 中的五大漏洞 - 开源中国社区
甲骨文紧急修复 PeopleSoft Tuxedo 中的五大漏洞
周其 2017年11月18日

甲骨文紧急修复 PeopleSoft Tuxedo 中的五大漏洞

周其 周其 发布于2017年11月18日 收藏 3

有免费的MySQL,为什么还要买? >>>  

这五个漏洞是安全公司ERPScan的研究人员所发现,其中一个漏洞可能会导致Tuxedo内存泄露,包括用户名称及密码,严重性类似于先前引发重大灾情的 HeartBleed,因而被命名为JoltlandBleed。

甲骨文周四发布安全更新,以修补PeopleSoft及底层Tuxedo Server可能导致资料外泄的五个漏洞。这批漏洞风险等级达到CVSS 10.0。 

五个CVE 列出的漏洞都位于Tuxedo的Jolt组件中,Tuxedo 是 PeopleSoft 用来处理非 Java 应用程序的应用程序服务器。其中最严重的漏洞代号为 CVE-2017-10269,该漏洞为内存泄露漏洞,允许攻击者通过网络访问目标服务器上的 Jolt Web 应用程序界面,以有效接管底层的Tuxedo软件,进而从Tuxedo内存取得用户名称及密码等。 

第二个漏洞CVE-2017-10272类似于2014年引发网络重大灾情的HeartBleed,因此安全公司将其命名为 JoltlandBleed。它允许攻击者从服务器上获取内存,然后利用这些信息造成更多的恶作剧和破坏。 

该漏洞影响 Oracle Tuxedo 11.1.1、12.1.1、12.1.3 及 12.2.2 版,以及使用Tuxedo应用服务器的整个PeopleSoft套件,包括如人力资源管理(HCM)、财务管理(Financial Management)、供应商关系管理(SRM)、供应链管理(SCM)等,ERPScan估计超过1000个PeopleSoft app在公开网络上曝光。不过甲骨文强调 Oracle Jolt 用户端并未受到影响。

第三个漏洞CVE-2017-10266可以强制利用DomainPWD获得对数据的只读访问的密码。

第四个漏洞,CVE-2017-10267,是一个堆栈溢出漏洞,可以很容易地利用其绕过验证。

最终漏洞CVE-2017-10278是一个堆溢出漏洞,这个漏洞很难被利用,但也可以用来绕过认证。 

甲骨文呼吁企业用户尽快更新最新版的软件。

编译自:https://www.theregister.co.uk/2017/11/16/oracle_peoplesoft_tuxedo_security_vulnerabilities/

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:甲骨文紧急修复 PeopleSoft Tuxedo 中的五大漏洞
分享
评论(3)
最新评论
现在java applet还有有人用吗?这个是有什么用的?
0

引用来自“黑人牙膏”的评论

商用的东西往往要依靠这些大公司去修补漏洞。微软、苹果、Oracle、IBM基本都是这样,虽然说有商业保证,但不能保证都没漏洞,尤其是那些大型金融机构,用这些商用的,如果有某些致命漏洞存在,很有可能影响整个系统。

开源当然不一定安全,只是源代码开放,大家参与的多,修复的漏洞也多,其实两者没啥可比的,各有各的好。
一天修复和一个月修复的区别,我还看见有些开源项目的拥有者说准备发一个新版,然后潜水三个月。。。
0
商用的东西往往要依靠这些大公司去修补漏洞。微软、苹果、Oracle、IBM基本都是这样,虽然说有商业保证,但不能保证都没漏洞,尤其是那些大型金融机构,用这些商用的,如果有某些致命漏洞存在,很有可能影响整个系统。

开源当然不一定安全,只是源代码开放,大家参与的多,修复的漏洞也多,其实两者没啥可比的,各有各的好。
顶部