Nul
CBS Interactive
Oracle har udsendt en akut patch uden for de planlagte sikkerhedsopdateringer til at løse alvorlige server sårbarheder, hvoraf nogle har opnået top klassificeringen.
På torsdag, ERPScan afslørede detaljer om de sårbarheder, som påvirker Oracle application server Tuxedo. Selskabet sagde, at fem fejl blev fundet i alt, og to af dem har fået utrolig høj CVSS bedømmelser af 10.0 og 9.9.
Oracle Tuxedo er application server software, der anvendes af virksomheden spillere i den private sky eller for de traditionelle datacentre for at udvikle, implementere og håndtere applikationer.
De sårbarheder der blev præsenteret på DeepSec konference i Wien, hvor ERPScan forskere, der sagde, at Tuxedo er centrale for mange business-opsætninger og mindst 6000 virksomheder, der menes at være påvirket.
Den mest alvorlige sikkerhedshul, CVE-2017-10272 — bedømt CVSS 10.00 — er en memory leak svarende til HeartBleed, som blev fundet i Ryk, en proprietær Oracle-protokollen.
Ved at sende udformet pakker til den HTTP-port, der håndteres af Ryk, en angriber er i stand til at få fat i information om session, brugernavne og passwords, og derfor får adgang til systemet.
“Manipulere kommunikation med kunden, for en hacker kan opnå et stabilt arbejde, et server-side og følsomme data lækage,” siger forskerne. “At indlede en masse tilslutninger, hacker, der passivt opsamler den interne hukommelse Ryk server. Det fører til lækage af legitimationsoplysninger, når en bruger går ind i dem via web-interface i et system PeopleSoft.”
Som Incitament er, der bruges af Oracle ERP-systemer, hackere kan få adgang til Oracle, PeopleSoft Campus-Løsninger, PeopleSoft Human Capital Management, PeopleSoft Økonomisk Forvaltning, PeopleSoft Supply Chain Management, og meget mere.
CVE-2017-10269, den anden mest alvorlige svaghed, der videregives, er en fejl, som tillader en fuld kompromis af PeopleSoft-system.
ERPScan forskere også oplyses, CVE-2017-10267, en stack overflow fejl, CVE-2017-10278, et heap overflow problem, og CVE-2017-10266, et sikkerhedshul, som giver fjernangribere at brute-force passwords af DomainPWD, som bruges af Jolt protokol.
Oracle Tuxedo versioner 11.1.1, 12.1.1, 12.1.3, og 12.2.2 svagheder.
Oracle har udsendt en akut patch til at løse disse problemer, og DET er administratorer, der har bedt om at anvende opdateringen med det samme.
“På grund af sværhedsgraden af disse sårbarheder, Oracle anbefaler på det kraftigste, at kunder anvender opdateringer af denne sikkerhedsadvarsel så hurtigt som muligt,” siger virksomheden i en sikkerhedsbulletin.
Tidligere i denne måned, Oracle har udsendt en akut løsning for Oracle Identity Manager, som gjorde det muligt for angribere at helt kapre den software, gennem en ikke-godkendt net-angreb.
I Oracle ‘ s oktober Critical Patch Update (CPU), virksomheden løst 252 sårbarheder, der påvirker software, herunder Oracle Fusion Middleware, Oracle Gæstfrihed, Oracle, MySQL, og PeopleSoft. Den værste af de bugs, som man er nået en CVSS-score på 9.6, resulterede i alt fra fjernkørsel af programkode til lammelsesangreb (denial-of-service.
Tidligere og relaterede dækning
Oracle og cloud: Succes kræver en kundeorienteret kultur
Tre top enterprise software-industri analytikere forklare Oracle ‘ s planer og strategi. Lære, hvad det betyder for Oracle kunder og din virksomhed.
Oracle skubber ud af akut-fix til remote-system kapre sårbarhed
Den sårbarhed, så slemt som det bliver, giver angribere mulighed for at fjernstyre overtage virksomhedens software uden godkendelse.
Oracle swats 252 fejl i patch update
Hundredvis af forskellige produkter, der er ramt af en række sårbarheder håndteres i opdateringen.
Relaterede Emner:
Oracle
Sikkerhed-TV
Data Management
CXO
Datacentre
0