甲骨文緊急修補PeopleSoft、Tuxedo 重大漏洞JoltlandBleed

甲骨文周四緊急釋出安全更新，以修補PeopleSoft及底層Tuxedo Server可能導致重要資料外洩的5個重大漏洞。 

這項5項漏洞是由安全公司ERPScan研究人員發現，位於Oracle Tuxedo應用伺服器軟體中的Jolt協定。其中最嚴重的是代號CVE-2017-10269，該漏洞為記憶體洩露漏洞，發生在Jolt協定處理器（Jolt Handler）程式碼中，使駭客可以透過向Jolt Server HTTP連接埠傳送大型網路封包加以開採，進而從Tuxedo記憶體取得明碼重要資訊，包括連線資訊、用戶名稱及密碼等。 

由於該漏洞類似2014年引發網路重大災情的HeartBleed，因此安全公司將之命名為JoltlandBleed。這批漏洞風險等級達CVSS 10.0。 

該漏洞影響Oracle Tuxedo 11.1.1、12.1.1、12.1.3及12.2.2版，以及使用Tuxedo應用伺服器的整個PeopleSoft套件，包括如人力資源管理（HCM）、財務管理（Financial Management）、供應商關係管理（SRM）、供應鏈管理（SCM）等，ERPScan估計超過1000個PeopleSoft app在公開網際網路上曝險。不過甲骨文強調Oracle Jolt用戶端並未受到影響。 

其他4項漏洞為CVE-2017-10272 、CVE-2017-10267、CVE-2017-10278 和CVE-2017-10266，分別可造成記憶體洩露、記憶體緩衝溢位攻擊、以及Jolt協定的DomainPWD密碼被暴力破解。 

甲骨文也呼籲企業用戶儘速升級到最新版軟體。