首页 > 站长百科 > 安全运维

Oracle Jolt核心协议出血漏洞

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

      在16日,安全加报道了 Oracle Tuxedo远程安全漏洞CVE-2017-10269,Core组件及Fusion中间件受到影响 ,并提示运营商和金融行业需要引起重视。随后甲骨文发布了一个紧急补丁包,修复影响到其依赖专有Jolt协议的若干产品上的漏洞。ERPScan的专家报告了这些漏洞,并将其命名为JoltandBleed漏洞组(共五个漏洞)。

      Oracle Tuxedo 是当今 C、 C++ 和 COBOL 解决方案的首选平台,是许多全球领先公司的事务处理支柱,运行着一些规模最大的关键事务处理系统,如运营商行业的有线传输、电信,及金融行业ATM相关系统等。

JoltandBleed漏洞组利用难度较低

      最严重的漏洞的CVSS分数被评为最高的9.9甚至是10。据专家所称,无需有效用户名和密码,即可通过网络利用该漏洞。JoltandBleed问题影响了Oracle Tuxedo中的Jolt服务器。该服务器被大量的Oracle产品使用,包括Oracle PeopleSoft。攻击者可以利用这些漏洞获取对存储在下方ERP系统中的数据的完全访问权限:

  • Oracle PeopleSoft Campus Solutions
  • Oracle PeopleSoft Human Capital Management
  • Oracle PeopleSoft Financial Management
  • Oracle PeopleSoft Supply Chain Management, etc.

      下方列出该专家发现的JoltandBleed完整列表:

  1. CVE-2017-10272是一个 内存泄露 漏洞。对这个漏洞的利用允许攻击者远程读取服务器的内存。
  2. CVE-2017-10267是一个栈溢出漏洞。
  3. CVE-2017-10278是一个堆溢出漏洞。
  4. CVE-2017-10266漏洞允许攻击者暴力破解Jolt协议验证机制所使用的DomainPWD密码。
  5. CVE-2017-10269漏洞影响到Jolt协议,允许攻击者攻陷整个PeopleSoft系统。

      这个漏洞会影响Jolt Handler(JSH)处理一个操作码为0x32的命令。ERPScan还表示:

“这个错误源于Jolt Handler如何处理一个操作码为0x32的命令。如果报文结构不正确,程序员必须为Jolt客户端提供一个特定的Jolt响应,表明在通信过程中出现错误。”

      甲骨文周二发布了用于Oracle Fusion Middleware的补丁,修复了所有这些漏洞。

JoltandBleed漏洞将导致敏感数据泄露

      该漏洞是由函数调用中的编码错误引起的。该函数调用负责封装数据以进行传输。ERPScan说:

“混淆存在于Jtohi和Htoji函数之间。结果,对于长度固定为0x40字节的报文,封装的实际长度是0x40000000。

然后,客户端发起传输0x40000000字节的数据。通过操纵与客户端的通信,攻击者可以实现服务器端的稳定工作和敏感 数据泄露 。通过发起大量连接,黑客被动地手机Jolt服务器的内存数据。”

      当用户通过PeopleSoft系统的Web界面输入凭据时,该漏洞会导致凭据泄露。从技术上来说,该漏洞是类似于HeartBleed的内存泄露漏洞。所以,它可被用来检索用户密码和其他敏感数据。ERPScan表示:

“除了显而易见的员工数据泄露之外,还可能发生的攻击之一,是学生可以攻击Campus Solutions并篡改或删除接受教育的付款订单或获取经济援助。这类攻击及其他细节今天在维也纳的DeepSec安全大会上得到了展示。”

其中Oracle内存泄露漏洞很容易被利用攻入Oracle Tuxedo

      据甲骨文称,CVE-2017-10272内存泄露漏洞很容易被利用,允许低权限的攻击者通过Jolt的网络访问来攻入Oracle Tuxedo。Oracle写道:

“Oracle Fusion Middleware中Oracle Tuxedo组件(子组件:Core)的漏洞。受影响的受支持版本是11.1.1、12.1.1、12.1.3和12.2.2。漏洞易于利用,允许有Jolt访问权限的低权限攻击者攻入Oracle Tuxedo。虽然这个漏洞存在于Oracle Tuxedo,但攻击可能会对其他产品产生重大影响。

对这个漏洞的成功攻击能导致越权创建、删除或修改对关键数据或所有Oracle Tuxedo可访问数据的访问权限,以及越权访问关键数据或者所有Oracle Tuxedo可访问数据,和导致部分拒绝Oracle Tuxedo服务(部分DoS)的越权操作。”

转自:http://toutiao.secjia.com/oracle-joltandbleed

标签: 安全 服务器 服务器端 金融 漏洞 权限 通信 网络 问题 行业 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:勒索软件攻击所造成的损失在2019年或将达115亿美元

下一篇:2017上半年DDoS攻击数量倍增

相关文章
最新资讯
热门推荐
热门标签
网站 seo 网络 网站优化 安全 百度 互联网 服务器 云计算 媒体 大数据 代码 外链建设 搜索 搜索优化 数据 淘宝 搜索引擎 百度百 通信  数据库 网站推广 金融 排名 Google 推广 谷歌 网站排名 关键词优化