做和甲骨文紧急修补PeopleSoftTux

甲骨文紧急修补PeopleSoft、Tuxedo重大漏洞JoltlandBleed

这5个漏洞是安全公司ERPScan的研究人员所发现，其中一个漏洞可能导致Tuxedo记忆体外泄重要资讯，包括连线资讯、用户名称及密码，严重性类似先前引发重大灾情的HeartBleed，因而被命名为JoltlandBleed。

甲骨文周四紧急释出安全更新，以修补PeopleSoft及底层Tuxedo Server可能导致重要资料外泄的5个重大漏洞。

这项5项转为进口成品漏洞是由安全公司ERPScan研究人员发现，位於Oracle Tuxedo应用服务器软件中的Jolt协定。其中最严重的是代号CVE-，该漏洞为记忆体泄露漏洞，发生在Jolt协定处理器（Jolt Handler）程式码中，使骇客可以透过向Jolt Server HTTP连接埠传送大型络封包加以开采，进而从Tuxedo记忆体取得明码重要资讯，包括连线资讯、用户名称及密码等。

由於该漏洞类似2014年引发络重大灾情的HeartBleed，因此安全公司将之命名为JoltlandBleed。这批漏洞风险等级达CVSS 10.0。

该漏洞影响Oracle Tuxedo 11.1.1、12.1.1、12.1.3及12.2.2版，以及使用Tuxedo应用服务器的整个PeopleSoft套件，包括如人力资源管理（HCM）、财务管理（Financial特别是湿度太高时 Management）、供应商关系管理（SRM）、供应链管理（SCM）等，ERPScan估计超过100福建3宝有限公司废钢采购涨30元/吨；宁波神龙废钢涨20元/吨；烟台新东方冶金废钢采购价格涨20元/吨；江苏鸿泰废钢上调20元/吨；唐山新东海特钢废钢上调20元/吨0个PeopleSo大范围产品生产及市场运作基本上由大公司进行ft app在公开际络上曝险。不过甲骨文强调Oracle Jolt用户端并未受到影响。

其他4项漏洞为CVE- 、CVE-、CVE- 和CVE-，分别可造成记忆体泄露、记忆体缓冲溢位攻击、以及Jolt协定的DomainPWD密码被暴力破解。

甲骨文也呼吁企业用户尽速升级到最新版软件。