返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
Oracle Jolt核心协议出血漏洞
2017-11-21 IT运维网 / 转载

      在16日,安全加报道了 Oracle Tuxedo远程安全漏洞CVE-2017-10269,Core组件及Fusion中间件受到影响 ,并提示运营商和金融行业需要引起重视。随后甲骨文发布了一个紧急补丁包,修复影响到其依赖专有Jolt协议的若干产品上的漏洞。ERPScan的专家报告了这些漏洞,并将其命名为JoltandBleed漏洞组(共五个漏洞)。

      Oracle Tuxedo 是当今 C、 C++ 和 COBOL 解决方案的首选平台,是许多全球领先公司的事务处理支柱,运行着一些规模最大的关键事务处理系统,如运营商行业的有线传输、电信,及金融行业ATM相关系统等。

JoltandBleed漏洞组利用难度较低

      最严重的漏洞的CVSS分数被评为最高的9.9甚至是10。据专家所称,无需有效用户名和密码,即可通过网络利用该漏洞。JoltandBleed问题影响了Oracle Tuxedo中的Jolt服务器。该服务器被大量的Oracle产品使用,包括Oracle PeopleSoft。攻击者可以利用这些漏洞获取对存储在下方ERP系统中的数据的完全访问权限:

  • Oracle PeopleSoft Campus Solutions
  • Oracle PeopleSoft Human Capital Management
  • Oracle PeopleSoft Financial Management
  • Oracle PeopleSoft Supply Chain Management, etc.

      下方列出该专家发现的JoltandBleed完整列表:

  1. CVE-2017-10272是一个 内存泄露 漏洞。对这个漏洞的利用允许攻击者远程读取服务器的内存。
  2. CVE-2017-10267是一个栈溢出漏洞。
  3. CVE-2017-10278是一个堆溢出漏洞。
  4. CVE-2017-10266漏洞允许攻击者暴力破解Jolt协议验证机制所使用的DomainPWD密码。
  5. CVE-2017-10269漏洞影响到Jolt协议,允许攻击者攻陷整个PeopleSoft系统。

      这个漏洞会影响Jolt Handler(JSH)处理一个操作码为0x32的命令。ERPScan还表示:

“这个错误源于Jolt Handler如何处理一个操作码为0x32的命令。如果报文结构不正确,程序员必须为Jolt客户端提供一个特定的Jolt响应,表明在通信过程中出现错误。”

      甲骨文周二发布了用于Oracle Fusion Middleware的补丁,修复了所有这些漏洞。

JoltandBleed漏洞将导致敏感数据泄露

      该漏洞是由函数调用中的编码错误引起的。该函数调用负责封装数据以进行传输。ERPScan说:

“混淆存在于Jtohi和Htoji函数之间。结果,对于长度固定为0x40字节的报文,封装的实际长度是0x40000000。

然后,客户端发起传输0x40000000字节的数据。通过操纵与客户端的通信,攻击者可以实现服务器端的稳定工作和敏感 数据泄露 。通过发起大量连接,黑客被动地手机Jolt服务器的内存数据。”

      当用户通过PeopleSoft系统的Web界面输入凭据时,该漏洞会导致凭据泄露。从技术上来说,该漏洞是类似于HeartBleed的内存泄露漏洞。所以,它可被用来检索用户密码和其他敏感数据。ERPScan表示:

“除了显而易见的员工数据泄露之外,还可能发生的攻击之一,是学生可以攻击Campus Solutions并篡改或删除接受教育的付款订单或获取经济援助。这类攻击及其他细节今天在维也纳的DeepSec安全大会上得到了展示。”

其中Oracle内存泄露漏洞很容易被利用攻入Oracle Tuxedo

      据甲骨文称,CVE-2017-10272内存泄露漏洞很容易被利用,允许低权限的攻击者通过Jolt的网络访问来攻入Oracle Tuxedo。Oracle写道:

“Oracle Fusion Middleware中Oracle Tuxedo组件(子组件:Core)的漏洞。受影响的受支持版本是11.1.1、12.1.1、12.1.3和12.2.2。漏洞易于利用,允许有Jolt访问权限的低权限攻击者攻入Oracle Tuxedo。虽然这个漏洞存在于Oracle Tuxedo,但攻击可能会对其他产品产生重大影响。

对这个漏洞的成功攻击能导致越权创建、删除或修改对关键数据或所有Oracle Tuxedo可访问数据的访问权限,以及越权访问关键数据或者所有Oracle Tuxedo可访问数据,和导致部分拒绝Oracle Tuxedo服务(部分DoS)的越权操作。”

转自:http://toutiao.secjia.com/oracle-joltandbleed
相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读