Abo
  • IT-Karriere:

JoltandBleed: Oracle veröffentlicht Notfallpatch für Universitäts-Software

Eine Software zur Verwaltung von Noten, Zahlungen und anderen Studentendaten ist genauso betroffen wie weitere Oracle-Produkte: Die Sicherheitslücke JoltandBleed ermöglicht ähnliche Angriffe wie einst Heartbleed. Oracle hat Patches bereitgestellt.

Artikel veröffentlicht am ,
Oracle hat mehrere Schwachstellen gepatcht.
Oracle hat mehrere Schwachstellen gepatcht. (Bild: Pixabay/Montage: Golem.de/CC0 1.0)

Oracle hat außerhalb des eigenen Patchzyklus eine Reihe von Patches für den Tuxedo 2-Server veröffentlicht, die einen Angriff auf den Server ähnlich wie bei Heartbleed ermöglichen. Die von den Entdeckern JoltandBleed genannte Lücke ermöglicht das Auslesen von Speicherbereichen, die für Angreifer eigentlich nicht zugänglich sein sollten.

Stellenmarkt
  1. Hays AG, Großraum München
  2. Sagemcom Fröschl GmbH, Walderbach (zwischen Cham und Regensburg)

Die Sichehreitslücke wurde von Forschern der Sicherheitsfirma ERPScan gefunden und auf der Sicherheitskonferenz Deepsec in Wien präsentiert. Sie befindet sich in allen Oracle-Produkten, die den Tuxedo 2 Applikations-Server benutzen. Nach Angaben von ERPScan betreiben rund 1.000 Unternehmen verwundbare Server mit direktem Zugang zum Internet.

Oracle nutzt Tuxedo 2 für verschiedene eigene Angebote, etwa die Peoplesoft Campus Solutions, ein von Universitäten zur Verwaltung von Studentendaten verwendetes System. Weitere Lösungen mit Tuxedo 2 sind die Anwendungen Human Capital Management, Financial Management und Supply Chain Management.

Die Schwachstelle findet sich konkret in Oracles proprietärem Jolt-Protokoll. Senden Angreifer bestimmte HTTP-Pakete an den von Jolt genutzten Port, so antwortet dieser unter Umständen mit Daten aus dem Speicher des Servers. Dazu können Session-Informationen, Nutzernamen oder Plaintext-Passwörter gehören.

Der Fehler ist in der Entwicklung der Software begründet, offenbar verwechselten die Entwickler die Funktionen jtohi und htoji. Dadurch wurden anstatt der erwarteten Paketlänge von 0X40 Byte 0x40000000 Byte zurückgegeben - mit deutlich mehr Informationen als vorgesehen und eben möglicherweise vertraulichen Informationen. Initiieren Angreifer zahlreiche Verbindungen mit dem Server, könnten sie unter Umständen Zugangsdaten ausspähen, wenn Nutzer sich zum gegebenen Zeitpunkt einloggen.

Die Software enthält weitere Speicherfehler, darunter Heap- und Stack-Overflows, außerdem die Möglichkeit des Bruteforcing von Passwörtern.

Offenlegung: Golem.de hat auf Einladung der Deepsec-Veranstalter an der Konferenz in Wien teilgenommen. Die Reisekosten wurden von den Veranstaltern übernommen. Unsere Berichterstattung ist davon nicht beeinflusst und bleibt gewohnt neutral und kritisch. Der Artikel ist, wie alle anderen auf unserem Portal, unabhängig verfasst und unterliegt keinerlei Vorgaben Dritter; diese Offenlegung dient der Transparenz.



Anzeige
Hardware-Angebote
  1. 529,00€ (zzgl. Versand)
  2. 199,90€

Truster 21. Nov 2017

War auch mein erster Gedanke... Wall-E muss den Oracle Schrott aufräumen, wenn wir nicht...

Suchiman 20. Nov 2017

Ich schätze mal es sind sonderformen von hton und ntoh. Diese funktionen konvertieren die...


Folgen Sie uns
       


Doom 1 in der Doom 3 Engine angespielt

Doom Reborn benötigt eine Vollversion von Doom 3 und ist bei moddb.com kostenlos erhältlich. Die Mod wurde von Michael Hanlon entwickelt.

Doom 1 in der Doom 3 Engine angespielt Video aufrufen
Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


    Schienenverkehr: Die Bahn hat wieder eine Vision
    Schienenverkehr
    Die Bahn hat wieder eine Vision

    Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
    Eine Analyse von Caspar Schwietering

    1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
    2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
    3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

    Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
    Smarte Wecker im Test
    Unter den Blinden ist der Einäugige König

    Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
    Ein Test von Ingo Pakalski

    1. Nest Hub im Test Google vermasselt es 1A

      •  /