JoltandBleed: Oracle veröffentlicht Notfallpatch für Universitäts-Software

Eine Software zur Verwaltung von Noten, Zahlungen und anderen Studentendaten ist genauso betroffen wie weitere Oracle-Produkte: Die Sicherheitslücke JoltandBleed ermöglicht ähnliche Angriffe wie einst Heartbleed. Oracle hat Patches bereitgestellt.

Artikel veröffentlicht am ,
Oracle hat mehrere Schwachstellen gepatcht.
Oracle hat mehrere Schwachstellen gepatcht. (Bild: Pixabay/Montage: Golem.de/CC0 1.0)

Oracle hat außerhalb des eigenen Patchzyklus eine Reihe von Patches für den Tuxedo 2-Server veröffentlicht, die einen Angriff auf den Server ähnlich wie bei Heartbleed ermöglichen. Die von den Entdeckern JoltandBleed genannte Lücke ermöglicht das Auslesen von Speicherbereichen, die für Angreifer eigentlich nicht zugänglich sein sollten.

Stellenmarkt
  1. Scrum Master (m/w/d)
    Vodafone GmbH, Düsseldorf
  2. Systemadministrator (m/w/d) für vertriebliche IT-Systeme
    Stuttgarter Straßenbahnen AG, Stuttgart
Detailsuche

Die Sichehreitslücke wurde von Forschern der Sicherheitsfirma ERPScan gefunden und auf der Sicherheitskonferenz Deepsec in Wien präsentiert. Sie befindet sich in allen Oracle-Produkten, die den Tuxedo 2 Applikations-Server benutzen. Nach Angaben von ERPScan betreiben rund 1.000 Unternehmen verwundbare Server mit direktem Zugang zum Internet.

Oracle nutzt Tuxedo 2 für verschiedene eigene Angebote, etwa die Peoplesoft Campus Solutions, ein von Universitäten zur Verwaltung von Studentendaten verwendetes System. Weitere Lösungen mit Tuxedo 2 sind die Anwendungen Human Capital Management, Financial Management und Supply Chain Management.

Die Schwachstelle findet sich konkret in Oracles proprietärem Jolt-Protokoll. Senden Angreifer bestimmte HTTP-Pakete an den von Jolt genutzten Port, so antwortet dieser unter Umständen mit Daten aus dem Speicher des Servers. Dazu können Session-Informationen, Nutzernamen oder Plaintext-Passwörter gehören.

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Der Fehler ist in der Entwicklung der Software begründet, offenbar verwechselten die Entwickler die Funktionen jtohi und htoji. Dadurch wurden anstatt der erwarteten Paketlänge von 0X40 Byte 0x40000000 Byte zurückgegeben - mit deutlich mehr Informationen als vorgesehen und eben möglicherweise vertraulichen Informationen. Initiieren Angreifer zahlreiche Verbindungen mit dem Server, könnten sie unter Umständen Zugangsdaten ausspähen, wenn Nutzer sich zum gegebenen Zeitpunkt einloggen.

Die Software enthält weitere Speicherfehler, darunter Heap- und Stack-Overflows, außerdem die Möglichkeit des Bruteforcing von Passwörtern.

Offenlegung: Golem.de hat auf Einladung der Deepsec-Veranstalter an der Konferenz in Wien teilgenommen. Die Reisekosten wurden von den Veranstaltern übernommen. Unsere Berichterstattung ist davon nicht beeinflusst und bleibt gewohnt neutral und kritisch. Der Artikel ist, wie alle anderen auf unserem Portal, unabhängig verfasst und unterliegt keinerlei Vorgaben Dritter; diese Offenlegung dient der Transparenz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

  3. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
    •  /