SOS :: Security Operation Space
16 декабря, суббота, 00:00
Hot News:
  Support  //  IEEE

Компания Oracle выпустила экстренный патч для критических уязвимостей в продуктах PeopleSoft

19 ноября 2017 г., воскресенье, 18:57

Все проблемы были обнаружены специалистами компании ERPScan, которые дали багам совокупное имя JOLTandBLEED. Дело в том, что принцип работы уязвимостей очень похож на нашумевшую проблему Heartbleed, только в продуктах Oracle.

Проблемам JOLTandBLEED подвержены продукты Oracle из линейки PeopleSoft, включая Campus Solutions, PeopleSoft Human Capital Management, PeopleSoft Financial Management, PeopleSoft Supply Chain Management и так далее. Три наиболее «свежих» и опасных бага сопряжены с работой проприетарного серверного протокола Jolt, который, в свою очередь, является частью Tuxedo (Transactions for Unix, Extended for Distributed Operations), application-сервера и сердца многих middleware-решений Oracle.

Эксплуатация обнаруженных уязвимостей может привести к утечке данных из памяти Tuxedo-приложений. Наиболее критическими были названы баги CVE-2017-10269 (10 из 10 по шкале CVSSv3) и CVE-2017-10272 (9.9 из 10).

В частности для использования уязвимости CVE-2017-10269 атакующему даже не понадобятся пароли от уязвимых приложений, при этом злоумышленник может установить полный контроль над решениями PeopleSoft. Проблема CVE-2017-10272, в свою очередь, позволит преступнику удаленно прочесть память уязвимых Tuxedo-серверов. Эксплуатацию CVE-2017-10272 на практике можно увидеть в ролике ниже.

Также в состав JOLTandBLEED вошли баги CVE-2017-10266 (позволяет осуществить брутфорс DomainPWD, который Jolt использует для аутентификации), CVE-2017-10267 (переполнение стека), и CVE-2017-10278 (переполнение хипа).

Ваш голос учтён!
нравится
не нравится Рейтинг:
2
Всего голосов: 2
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
Новые материалы в :
21:03
19:29
17:19
15:18
20:14
19:45
18:53
17:57
08:19
20:25
18:57
16:54
15:33
15:29
04:18
19:33
19:17
18:58


© 2013—2017 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.015
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.