Global Preloader
Vulnerabilidad
(17/Nov/2017) Actualizaciones en Oracle por vulnerabilidades críticas JOLDandBLEED

Actualizaciones en Oracle por vulnerabilidades críticas JOLDandBLEED

Oracle ha emitido una actualización de seguridad de emergencia para corregir cinco vulnerabilidades, entre las cuales una tiene una calificación de 10 sobre 10 en la escala de gravedad de errores CVSSv3, y una segunda fue calificada con 9,9 sobre 10. Estos problemas más recientes afectan al protocolo del servidor Jolt que es parte del componente Tuxedo (Transactions for Unix, Extended for Distributed Operations, en inglés), el núcleo de muchos de los productos de Oracle.

Los cinco errores salieron a la luz después de ser investigados por la empresa de seguridad cibernética ERPScan. La empresa se refiere a ellos bajo el nombre de JOLTandBLEED porque algunos de los errores tienen las mismas consecuencias que la vulnerabilidad Heartbleed.

Un atacante que explote JOLTandBLEED puede exponer los datos que se procesan dentro de la memoria de las aplicaciones basadas en Tuxedo, lo que genera filtraciones de información confidencial a lo largo del tiempo.

Oracle y ERPScan comentan que JOLTandBLEED afecta a la línea de productos PeopleSoft de Oracle, como Campus Solutions, PeopleSoft Human Capital Management, PeopleSoft Financial Management, PeopleSoft Supply Chain Management y otros.

El más grave de los problemas es CVE-2017-10269 (con una puntuación de gravedad 10/10) y CVE-2017-10272 (puntuación de 9,9 sobre 10).

Por otro lado, CVE-2017-10272 ofrece a un atacante la posibilidad de leer remotamente la memoria de los servidores Tuxedo vulnerables.

En una solución de emergencia anterior, la compañía parcheó CVE-2017-10151, una cuenta de administrador sin contraseña que quedó en Oracle Identity Manager (OIM), una solución de administración de usuarios que permite a las empresas controlar qué partes de sus empleados de la red pueden acceder.

CVE-2017-10151 y los fallos JOLTandBLEED no fueron uno de ellos. Se recomienda a los usuarios que utilicen productos Oracle leer las alertas de seguridad más recientes de la compañía y aplicar las actualizaciones necesarias e instalar los parches de seguridad de octubre de 2017 si aún no lo han hecho.