/ Security / Jetzt patchen: Fünf teils kritische Sicherheitslücken in Oracle Tuxedo

Jetzt patchen: Fünf teils kritische Sicherheitslücken in Oracle Tuxedo

Moritz Rosenfeld on November 17, 2017 - 10:13 am in Security

Aufgrund kritischer Lücken im Anwendungsserver Tuxedo weicht Oracle von seiner vierteljährlichen Update-Routine ab. Nicht nur Nutzer von PeopleSoft-Produkten sollten ihre Software zügig mit den bereitstehenden Patches absichern.

Oracles Anwendungsserver Tuxedo weist insgesamt fünf Sicherheitslücken auf, die laut Sicherheitshinweis des Herstellers in der Jolt-Server-Komponente stecken. Betroffen sind die Tuxedo-Versionen 11.1.1, 12.1.1, 12.1.3 und 12.2.2. Tuxedo nebst Jolt Server ist unter anderem auch Bestandteil von PeopleSoft-Produkten wie etwa den Enterprise-Resource-Planning (ERP)-Lösungen Campus Solutions, Financial Management und Human Capital Management. Oracle weist deshalb darauf explizit hin, dass die bereitstehenden Patches auch PeopleSoft-Anwendungen absichern.

Alle fünf Lücken kann ein Angreifer übers Netzwerk missbrauchen, ohne dass hierfür die Eingabe von Login-Daten erforderlich ist. Unter anderem ermöglichen sie ihm das Auslesen von auf Servern gespeicherten Daten und das Bruteforcen von Passwörtern bis hin zur vollständigen Übernahme von PeopleSoft-Systemen. Die Komplexität der Angriffe stuft Oracle fast durchweg als niedrig ein. Die CVSS-v3-Scores der Lücken reichen von 5.3 (“medium”) bis hin zum höchstmöglichen Wert 10.0 (“critical”).

Oracle rät zu schnellem Handeln

Für gewöhnlich veröffentlicht Oracle Sicherheits-Updates vierteljährlich im Rahmen seiner Critical Patch Updates. Das außerplanmäßige Release unterstreicht die Gefahr, die von den aktuellen Lücken CVE-2017-10269, CVE-2017-10272, CVE-2017-10267, CVE-2017-10278 und CVE-2017-10266 ausgeht.
Oracle rät dementsprechend zur sofortigen Anwendung der Patches, die registrierte Kunden über ihre Accounts abrufen können. (ovw)

Read more on: Source

Comments are disabled