Nul
CBS Interactive
Oracle heeft nood patch buiten gepland beveiligingsupdates om het oplossen van ernstige server kwetsbaarheden, sommige van die grootste ernst.
Op donderdag, ERPScan bleek de details van de kwetsbaarheid, die van invloed zijn op de Oracle application server Smoking. Het bedrijf zei dat de vijf bugs die gevonden werden in totaal, en twee van hen ontvangen ongelooflijk hoge CVSS beoordelingen van 10.0 en 9.9.
Oracle Tuxedo is application server-software die wordt gebruikt door grote spelers in de private cloud of voor traditionele datacenters om te ontwikkelen, te implementeren en beheren van applicaties.
De kwetsbaarheden werden gepresenteerd op de DeepSec conferentie in Wenen, in die ERPScan onderzoekers zei dat Tuxedo is een van de belangrijkste vele opstellingen en ten minste 6000 ondernemingen zijn gedacht te worden getroffen.
De meest ernstige lek, CVE-2017-10272 — nominaal CVSS 10.00 — is een probleem met weglekkend geheugen vergelijkbaar met HeartBleed die gevonden was in Schok, een merkgebonden Oracle-protocol.
Door het verzenden van gemaakte pakketten naar de HTTP-poort behandeld door Schok, een aanvaller in staat is om te grijpen sessie gegevens, gebruikersnamen en wachtwoorden, en daarom toegang krijgen tot het systeem.
“Het manipuleren van de communicatie met de opdrachtgever, kan een aanvaller het bereiken van een stabiele werk van een server-side en gevoelige gegevens lekkage,” zeggen de onderzoekers. “Het initiëren van een massa van de verbindingen, de hacker passief verzamelt het interne geheugen van de Schok server. Het leidt tot de lekkage van referenties is dat wanneer een gebruiker in te voeren via de web-interface van een PeopleSoft-systeem.”
Als Schokbeweging wordt gebruikt door Oracle ERP-systemen, kan een aanvaller toegang krijgen tot Oracle PeopleSoft Campus Solutions, PeopleSoft Human Capital Management, PeopleSoft Financieel Beheer, PeopleSoft Supply Chain Management, en meer.
CVE-2017-10269, de tweede meest ernstige kwetsbaarheid vermeld, is een bug die het mogelijk maakt een volledige compromis van de PeopleSoft-systeem.
ERPScan onderzoekers ook vermeld CVE-2017-10267, een stack overflow bug, CVE-2017-10278, een heap overflow probleem, en CVE-2017-10266, een lek waardoor aanvallers te brute-force wachtwoorden van DomainPWD, die wordt gebruikt door de Schok protocol.
Oracle Tuxedo versies 11.1.1, 12.1.1, 12.1.3 en 12.2.2 worden beïnvloed door de zwakke plekken.
Oracle heeft nood patch oplossen van deze vraagstukken en IT-beheerders gevraagd om de update direct.
“Gezien de ernst van deze kwetsbaarheden, Oracle raadt klanten van toepassing op de updates van deze Security Alert zo snel mogelijk,” aldus het bedrijf in een security advisory.
Eerder deze maand, Oracle uitgebracht nood oplossing voor Oracle Identity Manager waardoor aanvallers om volledig te kapen van de software door middel van een niet-geverifieerde het netwerk aan te vallen.
In de Oracle oktober Critical Patch Update (CPU), het bedrijf opgelost 252 kwetsbaarheden invloed software, met inbegrip van Oracle Fusion Middleware, Oracle Gastvrijheid, Oracle, MySQL en PeopleSoft. Het ergste van de fouten, die men bereikt een CVSS score van 9.6, resulteerde in van alles, van uitvoering van externe code tot een denial-of-service.
Vorige en aanverwante dekking
Oracle en cloud: Succes vraagt om een klantgerichte cultuur
Drie top enterprise software-industrie analisten verklaren Oracle ‘ s plannen en strategie. Leren wat het betekent voor Oracle klanten en uw bedrijf.
Oracle duwt emergency fix voor het externe systeem het kapen van kwetsbaarheid
De kwetsbaarheid, zo slecht als het wordt, biedt aanvallers de mogelijkheid om op afstand over te nemen van enterprise software zonder verificatie.
Oracle swats 252 bugs in de patch update
Honderden verschillende producten worden beïnvloed door een aantal beveiligingsproblemen aan de orde in de update.
Verwante Onderwerpen:
Oracle
Beveiliging TV
Data Management
CXO
Datacenters
0