Abo
  • Services:
Anzeige
Oracle hat mehrere Schwachstellen gepatcht.
Oracle hat mehrere Schwachstellen gepatcht. (Bild: Pixabay/Montage: Golem.de/CC0 1.0)

JoltandBleed: Oracle veröffentlicht Notfallpatch für Universitäts-Software

Oracle hat mehrere Schwachstellen gepatcht.
Oracle hat mehrere Schwachstellen gepatcht. (Bild: Pixabay/Montage: Golem.de/CC0 1.0)

Eine Software zur Verwaltung von Noten, Zahlungen und anderen Studentendaten ist genauso betroffen wie weitere Oracle-Produkte: Die Sicherheitslücke JoltandBleed ermöglicht ähnliche Angriffe wie einst Heartbleed. Oracle hat Patches bereitgestellt.

Oracle hat außerhalb des eigenen Patchzyklus eine Reihe von Patches für den Tuxedo 2-Server veröffentlicht, die einen Angriff auf den Server ähnlich wie bei Heartbleed ermöglichen. Die von den Entdeckern JoltandBleed genannte Lücke ermöglicht das Auslesen von Speicherbereichen, die für Angreifer eigentlich nicht zugänglich sein sollten.

Anzeige

Die Sichehreitslücke wurde von Forschern der Sicherheitsfirma ERPScan gefunden und auf der Sicherheitskonferenz Deepsec in Wien präsentiert. Sie befindet sich in allen Oracle-Produkten, die den Tuxedo 2 Applikations-Server benutzen. Nach Angaben von ERPScan betreiben rund 1.000 Unternehmen verwundbare Server mit direktem Zugang zum Internet.

Oracle nutzt Tuxedo 2 für verschiedene eigene Angebote, etwa die Peoplesoft Campus Solutions, ein von Universitäten zur Verwaltung von Studentendaten verwendetes System. Weitere Lösungen mit Tuxedo 2 sind die Anwendungen Human Capital Management, Financial Management und Supply Chain Management.

Die Schwachstelle findet sich konkret in Oracles proprietärem Jolt-Protokoll. Senden Angreifer bestimmte HTTP-Pakete an den von Jolt genutzten Port, so antwortet dieser unter Umständen mit Daten aus dem Speicher des Servers. Dazu können Session-Informationen, Nutzernamen oder Plaintext-Passwörter gehören.

Der Fehler ist in der Entwicklung der Software begründet, offenbar verwechselten die Entwickler die Funktionen jtohi und htoji. Dadurch wurden anstatt der erwarteten Paketlänge von 0X40 Byte 0x40000000 Byte zurückgegeben - mit deutlich mehr Informationen als vorgesehen und eben möglicherweise vertraulichen Informationen. Initiieren Angreifer zahlreiche Verbindungen mit dem Server, könnten sie unter Umständen Zugangsdaten ausspähen, wenn Nutzer sich zum gegebenen Zeitpunkt einloggen.

Die Software enthält weitere Speicherfehler, darunter Heap- und Stack-Overflows, außerdem die Möglichkeit des Bruteforcing von Passwörtern.

Offenlegung: Golem.de hat auf Einladung der Deepsec-Veranstalter an der Konferenz in Wien teilgenommen. Die Reisekosten wurden von den Veranstaltern übernommen. Unsere Berichterstattung ist davon nicht beeinflusst und bleibt gewohnt neutral und kritisch. Der Artikel ist, wie alle anderen auf unserem Portal, unabhängig verfasst und unterliegt keinerlei Vorgaben Dritter; diese Offenlegung dient der Transparenz.


eye home zur Startseite
Truster 21. Nov 2017

War auch mein erster Gedanke... Wall-E muss den Oracle Schrott aufräumen, wenn wir nicht...

Themenstart

Suchiman 20. Nov 2017

Ich schätze mal es sind sonderformen von hton und ntoh. Diese funktionen konvertieren die...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Plochingen
  2. HUK-COBURG Versicherungsgruppe, Coburg
  3. Volkswagen Zubehör GmbH, Dreieich bei Frankfurt am Main
  4. Viega Holding GmbH & Co. KG, Attendorn


Anzeige
Top-Angebote
  1. 349,00€ (bitte nach unten scrollen)
  2. (u. a. Ghost Recon Wildlands 26,99€, GTA 5 24,99€, Rainbox Six Siege 17,99€, Urban Empire 9...
  3. 44,99€

Folgen Sie uns
       


  1. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

  2. Antec P110 Silent

    Gedämmter Midi-Tower hat austauschbare Staubfilter

  3. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung

  4. Spielebranche

    WW 2 und Battlefront 2 gewinnen im November-Kaufrausch

  5. Bauern

    Deutlich über 80 Prozent wollen FTTH

  6. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  7. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On

  8. FTTH

    Bauern am Glasfaserpflug arbeiten mit Netzbetreibern

  9. BGP-Hijacking

    Traffic von Google, Facebook & Co. über Russland umgeleitet

  10. 360-Grad-Kameras im Vergleich

    Alles so schön rund hier



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Ticket Deutschland bei der BVG: Bewegungspunkt am Straßenstrich
E-Ticket Deutschland bei der BVG
Bewegungspunkt am Straßenstrich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

  1. Re: gut erkannt, aber die Gefahr nicht verbannt

    LinuxMcBook | 02:23

  2. Re: "eine Lösung im Sinne der Kunden"

    Eopia | 02:14

  3. Re: "Telefon" gibt es doch gar nicht mehr

    LinuxMcBook | 02:11

  4. Re: AGesVG

    Mingfu | 02:09

  5. Re: H1Z1?

    LinuxMcBook | 02:06


  1. 17:47

  2. 17:38

  3. 16:17

  4. 15:50

  5. 15:25

  6. 15:04

  7. 14:22

  8. 13:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel