原标题:甲骨文紧急修补PeopleSoft、Tuxedo 重大漏洞JoltlandBleed
图片来源:Oracle
甲骨文周四紧急释出安全更新,以修补PeopleSoft及底层Tuxedo△Server可能导致重要资料外泄的5个重大漏洞。?
这项5项漏洞是由安全公司ERPScan研究人员发现,位于Oracle△Tuxedo应用伺服器软件中的Jolt协议。其中最严重的是代号CVE-2017-10269,该漏洞为记忆体泄露漏洞,发生在Jolt协议处理器(Jolt△Handler)程式码中,使骇客可以通过向Jolt△Server△HTTP连接埠传送大型网络封包加以开采,进而从Tuxedo记忆体取得明码重要资讯,包括连线资讯、用户名称及密码等。?
由于该漏洞类似2014年引发网络重大灾情的HeartBleed,因此安全公司将之命名为JoltlandBleed。这批漏洞风险等级达CVSS△10.0。?
该漏洞影响Oracle△Tuxedo△11.1.1、12.1.1、12.1.3及12.2.2版,以及使用Tuxedo应用伺服器的整个PeopleSoft套件,包括如人力资源管理(HCM)、财务管理(Financial△Management)、供应商关系管理(SRM)、供应链管理(SCM)等,ERPScan估计超过1000个PeopleSoft△app在公开网际网络上曝险。不过甲骨文强调Oracle△Jolt用户端并未受到影响。?
其他4项漏洞为CVE-2017-10272 、CVE-2017-10267、CVE-2017-10278 和CVE-2017-10266,分别可造成记忆体泄露、记忆体缓冲溢位攻击、以及Jolt协议的DomainPWD密码被暴力破解。?
甲骨文也呼吁企业用户尽速升级到最新版软件。
相关:
示意图,与新闻事件无关。 图片来源: Microsoft 微软于本周二(11/14)的每月例行性更新中修补了53个安全漏洞,其中有20个属于重大(critical)漏洞,特别的是,微软此次修补了Office中一个已存在17年的安全漏洞—
示意图,与新闻事件无关。 为了平息外界对政府拥有漏洞军火库的疑虑,美国政府周三公布安全漏洞揭露原则,说明美政府如何判断何种漏洞会公布、何种可以隐藏。?前美国总统奥巴马时代成立了“漏洞公正性评估流程”(
【深度剖析容器应用平台】甲骨文锁定原生容器应用开发需求,靠CI工具串公云进军跨云市场
甲骨文推出了容器原生应用程序开发平台,在应用程序的开发周期中,主要靠Kubernetes来负责持续部署(CD)的任务,再搭配一套持续整合工具Wercker,来串接起开发环境到容器储存库间的持续整合(CI)工作,而利用Werc
十多款防毒软件隔离恐失效,AVGater漏洞能纵放被拉黑的恶意程式
图片来源: bogner.sh 澳洲资安业者Kapsch近日指出,坊间的十多款防毒软件都含有AVGater漏洞,这是个权限扩张漏洞,将允许骇客释放与执行遭到防毒软件隔离的恶意程式,目前包括趋势科技(Trend△Micro)、卡巴斯基实验
图片来源: Openwall Google安全研究人员Andrey△Konovalov本周借由Openwall公布了他在Linux核心(Linux△kernel)所发现的14个USB子系统的安全漏洞,不过,这只是冰山一角,Konovalov通过Github所发表的相关漏洞数量