Los investigadores de ERPScan han demostrado públicamente, como una nueva vulnerabilidad afectaría gravemente a varios productos del fabricante Oracle, en concreto la línea Tuxedo y PeopleSoft.

La vulnerabilidad se presentaría en el servidor Java Jolt, integrado en Oracle Tuxedo, servidor de aplicaciones y componente central de muchos productos de la firma. Este nuevo tipo de ataque, que ha recibido la máxima puntuación (10.0 y 9.9) y diferentes CVEs (CVE-2017-10272, CVE-2017-10267, CVE-2017-10278, CVE-2017-10266 y CVE-2017-10269), permitiría a un atacante remoto comprometer el sistema totalmente, revelando información sensible.

Técnicamente, el error es debido a una incorrecta gestión de las comunicaciones en el Jolt Handler (JSH) que permitiría a un atacante enviar paquetes especialmente manipulados para provocar una fuga de datos en el servidor Jolt y recuperar las credenciales de usuario, como se puede ver en el siguiente vídeo publicado:

El ataque, denominado JOLTandBLEED, se asemeja a otro importante ataque, Heartblead, ya que siguen mecanismos similares a la hora de revelar información sensible del servidor.

Por su parte, Oracle ha publicado urgentemente parches para PeopleoSoft y Tuxedo:

• Oracle PeopleSoft Campus Solutions
• Oracle PeopleSoft Human Capital Management
• Oracle PeopleSoft Financial Management
• Oracle PeopleSoft Supply Chain Management
• Oracle Tuxedo, versiones 11.1.1, 12.1.1, 12.1.3, 12.2.2

José Mesa
@jsmesa

http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10269-4021872.html

PEOPLESOFT JOLTANDBLEED VULNERABILITY: