Productos de Oracle afectados por vulnerabilidades críticas JOLDandBLEED

Productos de Oracle afectados por vulnerabilidades críticas JOLDandBLEED

Javier Jiménez

Oracle ha emitido una actualización de seguridad de emergencia para abordar cinco vulnerabilidades, entre las cuales una tiene una calificación de 10 sobre 10 en la escala de gravedad de errores CVSSv3, y una segunda fue calificada con 9,9 sobre 10. Estos problemas más recientes afectan al protocolo del servidor Jolt que es parte del componente Tuxedo (Transactions for Unix, Extended for Distributed Operations, en inglés), el núcleo de muchos de los productos de Oracle.

Vulnerabilidades en Oracle

Los cinco errores salieron a la luz después de ser investigados por la empresa de seguridad cibernética ERPScan. La empresa se refiere a ellos colectivamente bajo el nombre de JOLTandBLEED porque algunos de los errores tienen las mismas consecuencias que la vulnerabilidad Heartbleed.

Un atacante que explote JOLTandBLEED puede exponer los datos que se procesan dentro de la memoria de las aplicaciones basadas en Tuxedo, lo que genera filtraciones de información confidencial a lo largo del tiempo.

Oracle y ERPScan dicen que se ha confirmado que JOLTandBLEED afecta a la línea de productos PeopleSoft de Oracle, como Campus Solutions, PeopleSoft Human Capital Management, PeopleSoft Financial Management, PeopleSoft Supply Chain Management y otros.

Errores graves

El más grave de los problemas es CVE-2017-10269 (con una puntuación de gravedad 10/10) y CVE-2017-10272 (puntuación de 9,9 sobre 10).

Por otro lado, CVE-2017-10272 ofrece a un atacante la posibilidad de leer remotamente la memoria de los servidores Tuxedo vulnerables.

Las otras tres vulnerabilidades que forman parte de JOLTandBLEED son CVE-2017-10266 (un fallo que permite usar la fuerza bruta en DomainPWD, utilizado para la autenticación de protocolo Jolt), CVE-2017-10267 y CVE-2017-10278.

ERPScan ha lanzado el siguiente vídeo que muestra a los expertos de la compañía que explotan CVE-2017-10272.

Este no es el primer error con una puntuación de 10 sobre 10 en la escala de gravedad CVSS que Oracle parcheó este mes.

Parches críticos

En una solución de emergencia anterior, la compañía parcheó CVE-2017-10151, una cuenta de administrador sin contraseña que quedó en Oracle Identity Manager (OIM), una solución de administración de usuarios que permite a las empresas controlar qué partes de sus empleados de la red pueden acceder.

El 16 de octubre, Oracle lanzó el tren de actualización trimestral de parches críticos. La compañía corrigió 252 errores.

CVE-2017-10151 y los fallos JOLTandBLEED no fueron uno de ellos. Se recomienda a los usuarios que utilicen productos Oracle leer las alertas de seguridad más recientes de la compañía y aplicar las actualizaciones necesarias e instalar los parches de seguridad de octubre de 2017 si aún no lo han hecho.

Como siempre decimos, lo mejor es mantener nuestros dispositivos perfectamente actualizados. Teniendo las últimas versiones, además de software de seguridad, podremos hacer frente a posibles amenazas que pongan en riesgo el buen funcionamiento.