甲骨文紧急修补PeopleSoft、Tuxedo 重大漏洞JoltlandBleed

甲骨文周四紧急释出 安全更新 ，以修补PeopleSoft及底层Tuxedo Server可能导致重要资料外洩的5个重大漏洞。

这项5项漏洞是由安全公司 ERPScan研究人员发现 ，位于Oracle Tuxedo应用服务器软件中的Jolt协定。其中最严重的是代号CVE-2017-10269，该漏洞为内存洩露漏洞，发生在Jolt协定处理器程式码中，使骇客可以透过向Jolt Server HTTP连接埠传送大型网路封包加以开采，进而从Tuxedo内存取得明码重要资讯，包括连线资讯、用户名称及密码等。

由于该漏洞类似2014年引发网路重大灾情的 HeartBleed ，因此安全公司将之命名为JoltlandBleed。这批漏洞风险等级达CVSS 10.0。

该漏洞影响Oracle Tuxedo 11.1.1、12.1.1、12.1.3及12.2.2版，以及使用Tuxedo应用服务器的整个PeopleSoft套件，包括如人力资源管理、财务管理、供应商关係管理、供应链管理等， ERPScan估计 超过1000个PeopleSoft app在公开网际网路上曝险。不过甲骨文强调Oracle Jolt用户端并未受到影响。

其他4项漏洞为CVE-2017-10272 、CVE-2017-10267、CVE-2017-10278 和CVE-2017-10266，分别可造成内存洩露、内存缓冲溢位攻击、以及Jolt协定的DomainPWD密码被暴力破解。

甲骨文也呼吁企业用户尽速升级到最新版软件。