SOS :: Security Operation Space
21 ноября, четверг, 00:00
|
Hot News:
  Support  //  IEEE (США)

Компания Oracle выпустила экстренный патч для критических уязвимостей в продуктах PeopleSoft

19 ноября 2017 г., воскресенье, 18:57

Все проблемы были обнаружены специалистами компании ERPScan, которые дали багам совокупное имя JOLTandBLEED. Дело в том, что принцип работы уязвимостей очень похож на нашумевшую проблему Heartbleed, только в продуктах Oracle.

Проблемам JOLTandBLEED подвержены продукты Oracle из линейки PeopleSoft, включая Campus Solutions, PeopleSoft Human Capital Management, PeopleSoft Financial Management, PeopleSoft Supply Chain Management и так далее. Три наиболее «свежих» и опасных бага сопряжены с работой проприетарного серверного протокола Jolt, который, в свою очередь, является частью Tuxedo (Transactions for Unix, Extended for Distributed Operations), application-сервера и сердца многих middleware-решений Oracle.

Эксплуатация обнаруженных уязвимостей может привести к утечке данных из памяти Tuxedo-приложений. Наиболее критическими были названы баги CVE-2017-10269 (10 из 10 по шкале CVSSv3) и CVE-2017-10272 (9.9 из 10).

В частности для использования уязвимости CVE-2017-10269 атакующему даже не понадобятся пароли от уязвимых приложений, при этом злоумышленник может установить полный контроль над решениями PeopleSoft. Проблема CVE-2017-10272, в свою очередь, позволит преступнику удаленно прочесть память уязвимых Tuxedo-серверов. Эксплуатацию CVE-2017-10272 на практике можно увидеть в ролике ниже.

Также в состав JOLTandBLEED вошли баги CVE-2017-10266 (позволяет осуществить брутфорс DomainPWD, который Jolt использует для аутентификации), CVE-2017-10267 (переполнение стека), и CVE-2017-10278 (переполнение хипа).

Ваш голос учтён!
нравится
не нравится Рейтинг:
10
Всего голосов: 18
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев

19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.068
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.