Abo
  • Services:

JoltandBleed: Oracle veröffentlicht Notfallpatch für Universitäts-Software

Eine Software zur Verwaltung von Noten, Zahlungen und anderen Studentendaten ist genauso betroffen wie weitere Oracle-Produkte: Die Sicherheitslücke JoltandBleed ermöglicht ähnliche Angriffe wie einst Heartbleed. Oracle hat Patches bereitgestellt.

Artikel veröffentlicht am ,
Oracle hat mehrere Schwachstellen gepatcht.
Oracle hat mehrere Schwachstellen gepatcht. (Bild: Pixabay/Montage: Golem.de/CC0 1.0)

Oracle hat außerhalb des eigenen Patchzyklus eine Reihe von Patches für den Tuxedo 2-Server veröffentlicht, die einen Angriff auf den Server ähnlich wie bei Heartbleed ermöglichen. Die von den Entdeckern JoltandBleed genannte Lücke ermöglicht das Auslesen von Speicherbereichen, die für Angreifer eigentlich nicht zugänglich sein sollten.

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. Bosch Gruppe, Grasbrunn

Die Sichehreitslücke wurde von Forschern der Sicherheitsfirma ERPScan gefunden und auf der Sicherheitskonferenz Deepsec in Wien präsentiert. Sie befindet sich in allen Oracle-Produkten, die den Tuxedo 2 Applikations-Server benutzen. Nach Angaben von ERPScan betreiben rund 1.000 Unternehmen verwundbare Server mit direktem Zugang zum Internet.

Oracle nutzt Tuxedo 2 für verschiedene eigene Angebote, etwa die Peoplesoft Campus Solutions, ein von Universitäten zur Verwaltung von Studentendaten verwendetes System. Weitere Lösungen mit Tuxedo 2 sind die Anwendungen Human Capital Management, Financial Management und Supply Chain Management.

Die Schwachstelle findet sich konkret in Oracles proprietärem Jolt-Protokoll. Senden Angreifer bestimmte HTTP-Pakete an den von Jolt genutzten Port, so antwortet dieser unter Umständen mit Daten aus dem Speicher des Servers. Dazu können Session-Informationen, Nutzernamen oder Plaintext-Passwörter gehören.

Der Fehler ist in der Entwicklung der Software begründet, offenbar verwechselten die Entwickler die Funktionen jtohi und htoji. Dadurch wurden anstatt der erwarteten Paketlänge von 0X40 Byte 0x40000000 Byte zurückgegeben - mit deutlich mehr Informationen als vorgesehen und eben möglicherweise vertraulichen Informationen. Initiieren Angreifer zahlreiche Verbindungen mit dem Server, könnten sie unter Umständen Zugangsdaten ausspähen, wenn Nutzer sich zum gegebenen Zeitpunkt einloggen.

Die Software enthält weitere Speicherfehler, darunter Heap- und Stack-Overflows, außerdem die Möglichkeit des Bruteforcing von Passwörtern.

Offenlegung: Golem.de hat auf Einladung der Deepsec-Veranstalter an der Konferenz in Wien teilgenommen. Die Reisekosten wurden von den Veranstaltern übernommen. Unsere Berichterstattung ist davon nicht beeinflusst und bleibt gewohnt neutral und kritisch. Der Artikel ist, wie alle anderen auf unserem Portal, unabhängig verfasst und unterliegt keinerlei Vorgaben Dritter; diese Offenlegung dient der Transparenz.



Anzeige
Hardware-Angebote
  1. 399€ (Vergleichspreis ab 467€)
  2. täglich neue Deals bei Alternate.de
  3. 119,90€

Truster 21. Nov 2017

War auch mein erster Gedanke... Wall-E muss den Oracle Schrott aufräumen, wenn wir nicht...

Suchiman 20. Nov 2017

Ich schätze mal es sind sonderformen von hton und ntoh. Diese funktionen konvertieren die...


Folgen Sie uns
       


Apple iPad Pro 2018 - Fazit

Mit dem neuen iPad Pro 12.9 hat Apple wieder ein großes Tablet vorgestellt, das sehr leistungsfähig ist und sich deshalb für eine große Bandbreite an Aufgaben einsetzen lässt. Im Test stellen wir aber wie bei den Vorgängern fest: Ein echtes Notebook ist das Gerät immer noch nicht.

Apple iPad Pro 2018 - Fazit Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    IT: Frauen, die programmieren und Bier trinken
    IT
    Frauen, die programmieren und Bier trinken

    Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
    Von Maja Hoock

    1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
    2. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    3. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

    Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
    Drahtlos-Headsets im Test
    Ohne Kabel spielt sich's angenehmer

    Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
    Ein Test von Oliver Nickel

    1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
    2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
    3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

      •  /