Oracle存在依赖于Jolt协议的五个产品漏洞

    17日，据外媒报道，网络安全公司ERPScan发现Oracle存在依赖于Jolt协议的五个产品漏洞，并将他们命名为JoltandBleed，因其与与2014年在OpenSSL中发现的Heartbleed漏洞极为相似。攻击者可以利用JOLTandBLEED获得对ERP系统中存储的所有数据的完全访问权限，受影响的产品包括OraclePeopleSoft校园解决方案、甲骨文PeopleSoft人力资本管理、甲骨文PeopleSoft财务管理、甲骨文PeopleSoft供应链管理等。其中最为严重的两个漏洞分别是CVE-2017-10269和CVE-2017-10272。

    目前，Oracle已紧急发布了一系列安全补丁，用以修复这些漏洞。 JoltandBleed漏洞列表如下: CVE-2017-10269 一种影响Jolt 协议的漏洞，可使攻击者能够破坏整个PeopleSoft系统。 CVE-2017-10272 内存泄漏漏洞，可使攻击者有机会远程读取服务器的内存。 CVE-2017-10266 可使恶意的行为者可以暴力破解用于Jolt 协议身份验证的DomainPWD的密码。 CVE-2017-10267 堆栈溢出漏洞。 CVE-2017-10278 堆溢出漏洞。