Los investigadores de ERPScan han demostrado públicamente, como una nueva vulnerabilidad afectaría gravemente a varios productos del fabricante Oracle, en concreto la línea Tuxedo y PeopleSoft.

La vulnerabilidad se presentaría en el servidor Java Jolt, integrado en Oracle Tuxedo, servidor de aplicaciones y componente central de muchos productos de la firma. Este nuevo tipo de ataque, que ha recibido la máxima puntuación (10.0 y 9.9) y diferentes CVEs (CVE-2017-10272, CVE-2017-10267, CVE-2017-10278, CVE-2017-10266 y CVE-2017-10269), permitiría a un atacante remoto comprometer el sistema totalmente, revelando información sensible.

Técnicamente, el error es debido a una incorrecta gestión de las comunicaciones en el Jolt Handler (JSH) que permitiría a un atacante enviar paquetes especialmente manipulados para provocar una fuga de datos en el servidor Jolt y recuperar las credenciales de usuario, como se puede ver en el siguiente vídeo publicado:

Ver más: http://unaaldia.hispasec.com/2017/11/joltandbleed-grave-vulnerabilidad-en.html