Компанія Oracle випустила екстрене оновлення безпеки, що усуває п'ять уразливостей у продуктах, що використовують фірмову технологію Jolt. Проблеми, виявлені експертами ERPScan, отримали загальну назву JoltandBleed за аналогією до вразливості HeartBleed.

Уразливості, дві з яких оцінені в 9.9 і 10 балів за шкалою CVSS, зачіпають рішення Oracle PeopleSoft Campus Solutions, Human Capital Management, Financial Management, Supply Chain Management та інші продукти, які використовують сервер додатків Tuxedo 2. Проблеми дозволяють неавторизованим атакуючим повний доступ до даних.

Найсерйозніша вразливість (CVE-2017-10269) зачіпає протокол Jolt і дозволяє зловмисники повністю скомпрометувати систему PeopleSoft. Проексплуатувавши проблему CVE-2017-10272 (9.9 балів за шкалою CVSS), атакуючий може віддалено отримати доступ до пам'яті сервера. Шляхом відправлення спеціально сформованих пакетів злочинець може отримати дані сесії, логіни/паролі і отримати доступ до цільової системи.

CVE-2017-10267 (7.5 бала) та CVE-2017-10278 (7 балів) є вразливістю переповнення буфера. Нарешті, CVE-2017-10266 (5.3 бали) дозволяє зловмиснику за допомогою брутфорсу отримати пароль DomainPWD. Проблеми JoltandBleed торкаються версій Oracle Tuxedo 11.1.1, 12.1.1, 12.1.3 та 12.2.2. Виробник рекомендує встановити патчі якнайшвидше.

Oracle Tuxedo – сервер програм для програм, написаних на C, C++, COBOL.

Oracle Tuxedo Jolt – надає інтерфейс прикладного програмування (API) для доступу до програм Tuxedo з окремих клієнтів або інших середовищ Java.