Oracle corrige en urgence cinq vulnérabilités critiques

Oracle a publié en urgence cinq patchs corrigeant des vulnérabilités sévères. La plus critique dispose d’un score CVSS de 10.0 et peut être exploitée depuis le réseau local sans authentification. La vulnérabilité touche le serveur Jolt dans Oracle Tuxedo, un composant contenu dans plusieurs produits Oracle, comme par exemple PeopleSoft. En exploitant ces vulnérabilités, une personne malveillante peut accéder facilement à toutes les données sauvegardées dans le système ERP :

  • Oracle PeopleSoft Campus Solutions
  • Oracle PeopleSoft Human Capital Management
  • Oracle PeopleSoft Financial Management
  • Oracle PeopleSoft Supply Chain Management, etc

Un attaquant peut exploiter ces vulnérabilités en envoyant une série de requêtes http dans le but d’extraire des identifiants de connexion ainsi que des informations relatives aux sessions.

Cinq CVE ont été réservés pour ces vulnérabilités :

  • CVE-2017-10272 pour la vulnérabilité provoquant une fuite mémoire et permettant une lecture à distance de la mémoire du serveur
  • CVE-2017-10267 pour une vulnérabilité de dépassement de pile
  • CVE-2017-10278 pour une vulnérabilité de dépassement de tas
  • CVE-2017-10266 pour une vulnérabilité permettant une attaque par force brute pour extraire les mots de passe de DomainPWD utilisé pour l’authentification par le protocole Jolt
  • CVE-2017-10269 pour une vulnérabilité affectant le protocole Jolt et permettant la compromission de tout le système PeopleSoft

L’erreur réside dans la manière avec laquelle le gestionnaire de Jolt (Jolt Handler JSH) traite le code hexadécimal 0x32.

Informations
+

Impact

  • Divulgation d’information
  • Atteinte à l'intégrité des données
  • Déni de service partiel

Criticité

  • CVSS v3 : 10.0

Existence d’un code d’exploitation de la vulnérabilité

Une démonstration est disponible en vidéo à l’adresse suivante : https://youtu.be/N_-mwKD8Kek

Composants & versions vulnérables

  • Oracle Tuxedo, versions 11.1.1, 12.1.1, 12.1.3, 12.2.2

CVE

  • CVE-2017-10266
  • CVE-2017-10267
  • CVE-2017-10269
  • CVE-2017-10272
  • CVE-2017-10278

Recommandations
+

Correctifs

Oracle a publié un correctif pour ces vulnérabilités. Vu la criticité de la vulnérabilité et l’impact qu’elle peut avoir sur les systèmes, il est recommandé d’appliquer le correctif dans les plus brefs délais.

Solution de contournement

Il n’existe pas actuellement de solution de contournement.