警报！oracle出现类似“心脏滴血”漏洞-k8凯发游戏

近日消息oracle确认出现了类似“心脏滴血”的安全漏洞，攻击者可以利用这些漏洞获得对erp 系统后端数据库的完全访问权限，最关键的漏洞被评分为最高的 cvss 9.9,甚至 10.0。

这些漏洞是由erpscan的专家报告, 他们称这五个漏洞为joltandbleed，无需有效的用户名和密码，这些漏洞可以通过网络利用。joltandbleed问题影响在 oracle tuxedo 的jolt 服务器, 而许多 oracle 的产品, 包括 oracle peoplesoft 均使用到了上述服务。

攻击者可以利用这些漏洞获得对以下 erp 系统中存储的所有数据的完全访问权限:

oraclepeoplesoft 校园k8凯发游戏的解决方案

甲骨文 peoplesoft 人力资本管理

甲骨文 peoplesoft 财务管理

甲骨文 peoplesoft 供应链管理等

在专家发现的 joltandbleed 漏洞的完整列表:

1. cve-2017-10272是内存泄漏漏洞；它使攻击者有机会远程读取服务器的内存。

2. cve-2017-10267是堆栈溢出漏洞。

3. cve-2017-10278是堆溢出漏洞。

4. cve-2017-10266它使恶意的行为者可以暴力破解用于jolt 协议身份验证的domainpwd的密码。

5. cve-2017-10269是一种影响jolt 协议的漏洞;它使攻击者能够破坏整个 peoplesoft 系统。

该漏洞与jolt 处理程序(jsh) 处理带有操作码0x32 的命令有关。oracle在星期二为 oracle中间件提供了补丁程序, 它解决了所有的漏洞。此漏洞是由负责包装数据传输的函数调用中的编码错误引起的。错误出现在jtohi 和 htoji功能之间。

包装的恒定包长度必须是0x40 字节实际上是 0x40000000。客户端启动传输0x40000000 字节的数据。攻击者操纵与客户端的通信, 可以实现服务器端的稳定工作和敏感数据泄漏。通过启动大量的连接, 黑客被动地收集了jolt服务器的内存内容。

当用户通过 peoplesoft 系统的 web 界面输入凭据时, 该漏洞会导致凭证泄漏。

从技术上讲, 该缺陷是一个类似于 heartbleed （心脏滴血）的内存泄漏漏洞, 因此它可以用于检索用户密码和其他敏感数据。

受影响的版本是11.1.1、12.1.1、12.1.3和12.2.2。

虽然该漏洞是在 oracle tuxedo , 但攻击可能会显著影响其他产品。成功利用此漏洞可能导致：

1. 未经授权的创建、删除或修改对关键数据。

2. 关键数据的未经授权访问；

3. 完全访问所有 oracle tuxedo 数据；

4. 未经授权的能力还可能造成部分oracle tuxedo的拒绝服务。

目前，oracle针对依赖于jolt协议的几个产品的漏洞，已经紧急发布了一个修补程序。请广大用户关注，及时修补，防止企业关键业务数据泄露或被篡改。