甲骨文周四緊急釋出安全更新，以修補(bǔ)PeopleSoft及底層Tuxedo Server可能導(dǎo)致重要資料外泄的5個(gè)重大漏洞。

　　這項(xiàng)5項(xiàng)漏洞是由安全公司ERPScan研究人員發(fā)現(xiàn)，位於Oracle Tuxedo應(yīng)用服務(wù)器軟件中的Jolt協(xié)定。其中最嚴(yán)重的是代號(hào)CVE-2017-10269，該漏洞為記憶體泄露漏洞，發(fā)生在Jolt協(xié)定處理器（Jolt Handler）程式碼中，使駭客可以透過(guò)向Jolt Server HTTP連接埠傳送大型網(wǎng)絡(luò)封包加以開(kāi)采，進(jìn)而從Tuxedo記憶體取得明碼重要資訊，包括連線資訊、用戶名稱(chēng)及密碼等。

　　由於該漏洞類(lèi)似2014年引發(fā)網(wǎng)絡(luò)重大災(zāi)情的HeartBleed，因此安全公司將之命名為JoltlandBleed。這批漏洞風(fēng)險(xiǎn)等級(jí)達(dá)CVSS 10.0。

　　該漏洞影響Oracle Tuxedo 11.1.1、12.1.1、12.1.3及12.2.2版，以及使用Tuxedo應(yīng)用服務(wù)器的整個(gè)PeopleSoft套件，包括如人力資源管理（HCM）、財(cái)務(wù)管理（Financial Management）、供應(yīng)商關(guān)系管理（SRM）、供應(yīng)鏈管理（SCM）等，ERPScan估計(jì)超過(guò)1000個(gè)PeopleSoft app在公開(kāi)網(wǎng)際網(wǎng)絡(luò)上曝險(xiǎn)。不過(guò)甲骨文強(qiáng)調(diào)Oracle Jolt用戶端并未受到影響。

　　其他4項(xiàng)漏洞為CVE-2017-10272 、CVE-2017-10267、CVE-2017-10278 和CVE-2017-10266，分別可造成記憶體泄露、記憶體緩沖溢位攻擊、以及Jolt協(xié)定的DomainPWD密碼被暴力破解。

　　甲骨文也呼吁企業(yè)用戶盡速升級(jí)到最新版軟件。