Компания Oracle выпустила экстренное обновление безопасности, устраняющее пять уязвимостей в продуктах, использующих фирменную технологию Jolt. Проблемы, обнаруженные экспертами ERPScan, получили общее название JoltandBleed по аналогии с уязвимостью HeartBleed .
Уязвимости, две из которых оценены в 9.9 и 10 баллов по шкале CVSS, затрагивают решения Oracle PeopleSoft Campus Solutions, Human Capital Management, Financial Management, Supply Chain Management и другие продукты, использующие сервер приложений Tuxedo 2. Проблемы позволяют неавторизованным атакующим получить полный доступ к данным.
Наиболее серьезная уязвимость (CVE-2017-10269) затрагивает протокол Jolt и позволяет злоумышленники полностью скомпрометировать систему PeopleSoft. Проэксплуатировав проблему CVE-2017-10272 (9.9 баллов по шкале CVSS), атакующий может удаленно получить доступ к памяти сервера. Путем отправки специально сформированных пакетов преступник может извлечь данные сессии, логины/пароли и получить доступ к целевой системе.
CVE-2017-10267 (7.5 балла) и CVE-2017-10278 (7 баллов) представляют собой уязвимости переполнения буфера. Наконец, CVE-2017-10266 (5.3 балла) позволяет злоумышленнику с помощью брутфорса получить пароль DomainPWD. Проблемы JoltandBleed затрагивают версии Oracle Tuxedo 11.1.1, 12.1.1, 12.1.3 и 12.2.2. Производитель рекомендует установить патчи как можно скорее.
Oracle Tuxedo – сервер приложений для программ, написанных на C, C++, COBOL.
Oracle Tuxedo Jolt – предоставляет интерфейс прикладного программирования (API) для доступа к приложениям Tuxedo с отдельных клиентов или других сред Java.