SOS :: Security Operation Space
19 октября, пятница, 00:00
|
Hot News:
  Support  //  IEEE (США)

Компания Oracle выпустила экстренный патч для критических уязвимостей в продуктах PeopleSoft

19 ноября 2017 г., воскресенье, 18:57

Все проблемы были обнаружены специалистами компании ERPScan, которые дали багам совокупное имя JOLTandBLEED. Дело в том, что принцип работы уязвимостей очень похож на нашумевшую проблему Heartbleed, только в продуктах Oracle.

Проблемам JOLTandBLEED подвержены продукты Oracle из линейки PeopleSoft, включая Campus Solutions, PeopleSoft Human Capital Management, PeopleSoft Financial Management, PeopleSoft Supply Chain Management и так далее. Три наиболее «свежих» и опасных бага сопряжены с работой проприетарного серверного протокола Jolt, который, в свою очередь, является частью Tuxedo (Transactions for Unix, Extended for Distributed Operations), application-сервера и сердца многих middleware-решений Oracle.

Эксплуатация обнаруженных уязвимостей может привести к утечке данных из памяти Tuxedo-приложений. Наиболее критическими были названы баги CVE-2017-10269 (10 из 10 по шкале CVSSv3) и CVE-2017-10272 (9.9 из 10).

В частности для использования уязвимости CVE-2017-10269 атакующему даже не понадобятся пароли от уязвимых приложений, при этом злоумышленник может установить полный контроль над решениями PeopleSoft. Проблема CVE-2017-10272, в свою очередь, позволит преступнику удаленно прочесть память уязвимых Tuxedo-серверов. Эксплуатацию CVE-2017-10272 на практике можно увидеть в ролике ниже.

Также в состав JOLTandBLEED вошли баги CVE-2017-10266 (позволяет осуществить брутфорс DomainPWD, который Jolt использует для аутентификации), CVE-2017-10267 (переполнение стека), и CVE-2017-10278 (переполнение хипа).

Ваш голос учтён!
нравится
не нравится Рейтинг:
3
Всего голосов: 3
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев

11:15
10:15
09:15
08:15
08:15
08:15
07:15
07:15
06:15
05:59
16:15
15:59
15:15
14:15
13:33
13:00
12:15
11:15


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.082
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.