SOS :: Security Operation Space
14 августа, вторник, 00:00
|
Hot News:
  Support  //  IEEE (США)

Компания Oracle выпустила экстренный патч для критических уязвимостей в продуктах PeopleSoft

19 ноября 2017 г., воскресенье, 18:57

Все проблемы были обнаружены специалистами компании ERPScan, которые дали багам совокупное имя JOLTandBLEED. Дело в том, что принцип работы уязвимостей очень похож на нашумевшую проблему Heartbleed, только в продуктах Oracle.

Проблемам JOLTandBLEED подвержены продукты Oracle из линейки PeopleSoft, включая Campus Solutions, PeopleSoft Human Capital Management, PeopleSoft Financial Management, PeopleSoft Supply Chain Management и так далее. Три наиболее «свежих» и опасных бага сопряжены с работой проприетарного серверного протокола Jolt, который, в свою очередь, является частью Tuxedo (Transactions for Unix, Extended for Distributed Operations), application-сервера и сердца многих middleware-решений Oracle.

Эксплуатация обнаруженных уязвимостей может привести к утечке данных из памяти Tuxedo-приложений. Наиболее критическими были названы баги CVE-2017-10269 (10 из 10 по шкале CVSSv3) и CVE-2017-10272 (9.9 из 10).

В частности для использования уязвимости CVE-2017-10269 атакующему даже не понадобятся пароли от уязвимых приложений, при этом злоумышленник может установить полный контроль над решениями PeopleSoft. Проблема CVE-2017-10272, в свою очередь, позволит преступнику удаленно прочесть память уязвимых Tuxedo-серверов. Эксплуатацию CVE-2017-10272 на практике можно увидеть в ролике ниже.

Также в состав JOLTandBLEED вошли баги CVE-2017-10266 (позволяет осуществить брутфорс DomainPWD, который Jolt использует для аутентификации), CVE-2017-10267 (переполнение стека), и CVE-2017-10278 (переполнение хипа).

Ваш голос учтён!
нравится
не нравится Рейтинг:
3
Всего голосов: 3
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев

07:45
07:30
07:25
07:06
06:17
05:56
15:34
14:31
14:09
13:24
13:10
12:51
12:26
11:50
10:31
09:54
08:30
07:44


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.053
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.