Закрываем уязвимости Oracle

На днях Oracle выпустила экстренное обновление, призванное закрыть 5 уязвимостей в нескольких продуктах, полагающихся на проприетарный протокол Jolt.

Уязвимости затрагивают Oracle People Soft Campus Solutions, Human Capital Management, Financial Management и Supply Chain Management, а также другие продукты на базе сервера приложений Tuxedo 2.

Описание уязвимостей:

CVE-2017-10272 — уязвимость с раскрытием содержимого памяти; эксплуатация позволяет удаленно прочитать память сервера (9,9 балла по шкале CVSS).
CVE-2017-10267 — уязвимость переполнения стека (7,5 по шкале CVSS).
CVE-2017-10278 — уязвимость переполнения динамической области памяти (7 по шкале CVSS).
CVE-2017-10266 — уязвимость, позволяющая получить перебором пароли в компоненте DomainPWD, через который реализована аутентификация по протоколу Jolt (5,3 по шкале CVSS).
CVE-2017-10269 — уязвимость протокола Jolt, позволяющая злоумышленнику полностью скомпрометировать систему PeopleSoft (10 по шкале CVSS).

Уязвимость с раскрытием содержимого памяти (CVE-2017-10272) реализуется относительно просто и позволяет злоумышленнику с ограниченными привилегиями и доступом к сети через Jolt скомпрометировать сервер Oracle Tuxedo.

Для уязвимых продуктов выпущены патчи http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10269-4021872.html.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40