Accedi al tuo profilo

Selezione la tua area di interesse

News Recenti

JoltandBleed: Oracle Tuxedo ha una serie di falle critiche

Nov 17, 2017 Marco Schiaffino News, Vulnerabilità 0

I bug consentirebbero attacchi in remoto senza che sia necessaria alcuna forma di autenticazione. L’azienda: “aggiornate il prima possibile”.

Il problema si annida nel server Jolt (incluso in Oracle Tuxedo) ed è stato individuato dalla società di sicurezza ERPScan che ha battezzato le vulnerabilità con il nome di JoltandBleed.

Nel loro report, i ricercatori spiegano che il pacchetto di vulnerabilità è composto da 5 differenti bug (CVE-2017-10269; CVE-2017-10272; CVE-2017-10267; CVE-2017-10278; CVE-2017-10266) e che due di queste sono state classificate come “critiche”.

Le falle di sicurezza interessano prodotti come Oracle PeopleSoft Campus Solutions; Human Capital Management; Financial Management e Supply Chain Management.

La falla più grave (CVE-2017-10269) consentirebbe di compromettere PeopleSoft attraverso la rete senza che sia necessario utilizzare credenziali di autenticazione.

Nella classifica in base alla gravità è seguita dal bug identificato come CVE-2017-10272, che consentirebbe invece a un pirata informatico di accedere ai dati conservati nella memoria del server.

Anche se tecnicamente la falla di sicurezza interessa Oracle Tuxedo, le maggiori preoccupazioni riguardano la possibilità che il bug venga utilizzato per compromettere PeopleSoft.

Oracle ha rilasciato gli aggiornamenti che correggono le falle e ha diffuso un alert in cui sollecita tutti i suoi utenti a eseguire gli aggiornamenti il prima possibile.

Una raccomandazione che può suonare scontata ma che in ambito enterprise, dove ogni aggiornamento deve esser necessariamente preceduto da una serie di test e verifiche per garantire il funzionamento dei servizi, ha un significato ben preciso: “create una corsia preferenziale per l’aggiornamento”.

Condividi l'articolo