由于出现了类似“心脏滴血”漏洞，Oracle针对依赖于Jolt协议的几个产品的漏洞，紧急发布了一个修补程序。

ERPScan的专家报告了这些漏洞, 他们称这五个漏洞为JoltandBleed。

最关键的漏洞被评分为最高的 CVSS 9.9,甚至 10.0, 根据专家, 它可能无需有效的用户名和密码，而通过网络利用。

JoltandBleed问题影响在 oracle Tuxedo 的Jolt 服务器, 而许多 oracle 的产品, 包括 oracle PeopleSoft 均使用到了上述服务。

[出自:jiwo.org]

攻击者可以利用这些漏洞获得对以下 ERP 系统中存储的所有数据的完全访问权限:

OraclePeopleSoft 校园解决方案

甲骨文 PeopleSoft 人力资本管理

甲骨文 PeopleSoft 财务管理

甲骨文 PeopleSoft 供应链管理等

在专家发现的 JoltandBleed 漏洞的完整列表:

CVE-2017-10272是内存泄漏漏洞；它使攻击者有机会远程读取服务器的内存。

CVE-2017-10267是堆栈溢出漏洞。

CVE-2017-10278是堆溢出漏洞。

CVE-2017-10266它使恶意的行为者可以暴力破解用于Jolt 协议身份验证的DomainPWD的密码。

CVE-2017-10269是一种影响Jolt 协议的漏洞;它使攻击者能够破坏整个 PeopleSoft 系统。

该漏洞与Jolt 处理程序(JSH) 处理带有操作码0x32 的命令有关。

oracle在星期二为 oracle中间件提供了补丁程序, 它解决了所有的漏洞。

此漏洞是由负责包装数据传输的函数调用中的编码错误引起的。

错误出现在jtohi 和 htoji功能之间。

包装的恒定包长度必须是0x40 字节实际上是 0x40000000。客户端启动传输0x40000000 字节的数据。攻击者操纵与客户端的通信, 可以实现服务器端的稳定工作和敏感数据泄漏。通过启动大量的连接, 黑客被动地收集了Jolt服务器的内存内容。

当用户通过 PeopleSoft 系统的 web 界面输入凭据时, 该漏洞会导致凭证泄漏。

从技术上讲, 该缺陷是一个类似于 HeartBleed （心脏滴血）的内存泄漏漏洞, 因此它可以用于检索用户密码和其他敏感数据。

受影响的版本是11.1.1、12.1.1、12.1.3和12.2.2。

虽然该漏洞是在 Oracle Tuxedo , 但攻击可能会显著影响其他产品。成功利用此漏洞可能导致：

未经授权的创建、删除或修改对关键数据；

关键数据的未经授权访问；

完全访问所有 oracle Tuxedo 数据；

未经授权的能力还可能造成部分oracle Tuxedo的拒绝服务