弱點通告:Oracle 產品存在安全性弱點,可能導致機敏資訊外洩,建議請管理者儘速評估更新!
2017/11/21
風險等級: 高度威脅
摘  要:

Oracle 產品存在弱點,Oracle Tuxedo 應用伺服器軟體中的Jolt 協定存在弱點可能導致連線資訊、用戶名稱及密碼等機敏資訊外洩。嚴重性類似先前引發重大災情的HeartBleed ,因而被命名為JoltlandBleed 。

目前已知Oracle Tuxedo 11.1.1、12.1.1、12.1.3 及12.2.2 版和Oracle Tuxedo 應用伺服器的PeopleSoft 套件受到影響,HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

影響系統: Oracle Tuxedo 11.1.1、12.1.1、12.1.3 及12.2.2 版和Oracle Tuxedo 應用伺服器的PeopleSoft 套件
解決辦法: 請依照Oracle 官方網站說明進行更新
細節描述:

Oracle此次更新五個弱點,Oracle Tuxedo應用伺服器軟體中的Jolt協定。其中最嚴重的是代號CVE-2017-10269,該漏洞為記憶體洩露漏洞,發生在Jolt協定處理器(Jolt Handler)程式碼中,使駭客可以透過向Jolt Server HTTP連接埠傳送大型網路封包加以開採,進而從Tuxedo記憶體取得明碼重要資訊,包括連線資訊、用戶名稱及密碼等。

其他4項漏洞為CVE-2017-10272 、CVE-2017-10267、CVE-2017-10278 和CVE-2017-10266,分別可造成記憶體洩露、記憶體緩衝溢位攻擊、以及Jolt協定的DomainPWD密碼被暴力破解。

該漏洞影響Oracle Tuxedo 11.1.1、12.1.1、12.1.3及12.2.2版,以及使用Tuxedo應用伺服器的整個PeopleSoft套件,包括如人力資源管理(HCM)、財務管理(Financial Management)、供應商關係管理(SRM)、供應鏈管理(SCM)等,ERPScan估計超過1000個PeopleSoft app在公開網際網路上曝險。不過甲骨文強調Oracle Jolt用戶端並未受到影響。

HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

參考資訊:

iThome (2017/11/17)
US-CERT (2017/11/16)
Oracle (2017/11/16)