Noll
CBS Interactive
Oracle har släppt en emergency patch utanför schemalagda uppdateringar för att lösa allvarliga server sårbarheter, av vilka vissa har uppnått högsta risknivån.
På torsdag, ERPScan avslöjade detaljer om de sårbarheter som påverkar Oracle application server Smoking. Företaget sade att fem buggar hittades i totalt, och två av dem fick otroligt höga CVSS betyg, 10,0 och 9.9.
Oracle Smoking är application server-programvara som används av företag spelare i den privata moln eller för den traditionella datacenter i syfte att utveckla, distribuera och hantera applikationer.
De sårbarheter som presenterades på DeepSec-konferensen i Wien, där ERPScan forskarna sade att Smoking är grundläggande för att många företag uppställningar och minst 6000 företag är tänkt att vara drabbade.
De mest allvarlig säkerhetsbrist, CVE-2017-10272 — betygsatt CVSS 10.00-är en minnesläcka liknande HeartBleed som hittades i Ryck, ett egenutvecklade Oracle-protokollet.
Genom att skicka utformad paket till HTTP-porten, som hanteras av Jolt, en angripare kan ta session information, användarnamn och lösenord, och därmed få tillgång till systemet.
“Att manipulera kommunikationen med klienten, att en angripare kan uppnå ett stabilt arbete i en server-side och känsliga uppgifter läcker,” forskarna säger. “Initiera en massa anslutningar, hacker passivt samlar det interna minnet av Jolt-server. Det leder till läckage av referenser när en användare att skriva in dem via web-gränssnittet på en PeopleSoft system.”
Så Ryck används av Oracle ERP-system, angripare kan få tillgång till Oracle, PeopleSoft Campus Lösningar, PeopleSoft Human Capital Management, PeopleSoft Ekonomisk Förvaltning, PeopleSoft Supply Chain Management och mycket mer.
CVE-2017-10269, den näst mest allvarlig sårbarhet lämnas ut, är en bugg som tillåter en fullständig kompromiss av PeopleSoft system.
ERPScan forskare avslöjas också CVE-2017-10267, ett stack overflow-fel, CVE-2017-10278, ett heap overflow-problem, och CVE-2017-10266, en säkerhetsbrist som tillåter en angripare att brute-force-lösenord DomainPWD, som används av Jolt-protokollet.
Oracle Tuxedo versioner 11.1.1, 12.1.1, 12.1.3, och 12.2.2 påverkas av säkerhetsproblemen.
Oracle har släppt en emergency patch för att fixa dessa frågor och IT-administratörer tillfrågas om du vill installera uppdateringen omedelbart.
“På grund av svårighetsgraden av dessa sårbarheter, Oracle rekommenderar starkt att kunderna installera uppdateringarna som tillhandahålls av denna Security Alert så snart som möjligt,” sade företaget i en säkerhetsbulletin.
Tidigare denna månad, Oracle släppt en nödsituation fixa för Oracle Identity Manager som gjort det möjligt för angripare att helt kapa programvaran via en oautentiserad nätverk attack.
I Oracles oktober Kritisk Patch (CPU), har bolaget beslutat 252 sårbarheter som påverkar programvaran, inklusive Oracle Fusion Middleware, Oracle Gästfrihet, Oracle, MySQL, och PeopleSoft. Det värsta av fel, av vilken man uppnått en CVSS betyg på 9,6, resulterade i allt från fjärrkörning av kod till denial-of-service.
Tidigare och relaterade täckning
Oracle och moln: Framgång kräver en kundfokuserad kultur
Tre topp affärssystemsbranschen analytiker förklara Oracles planer och strategi. Lära sig vad det innebär för Oracle och kunder till ditt företag.
Oracle skjuter ut akut fix för fjärrsystemet att kapa sårbarhet
Sårbarheten, så illa som det blir, gör det möjligt för angripare att på distans ta över företagets programvara utan autentisering.
Oracle swats 252 fel i patch
Hundratals olika produkter påverkas av en rad sårbarheter åtgärdas i uppdateringen.
Relaterade Ämnen:
Oracle
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0