Согласно апрельскому бюллетеню Oracle о критических обновлениях в его программных продуктах, обнаружены и исправлены две уязвимости в системе безопасности мобильного доступа (EnterpriseOne Mobility Sec (jackson-databind)) и сервера-приложений (Enterprise Infrastructure SEC (OpenSSL)) Oracle JD Edwards EnterpriseOne.

• CVE-2017-15095
  Уязвимость в ядре JDE (мобильные приложения (EnterpriseOne Mobility Sec (jackson-databind))).
  Уязвимые версии: Mobility Security 9.2 вплоть до 9.2.2.3.
  Относительно сложно реализуемая, данная уязвимость позволяет злоумышленнику, имеющему доступ к системе по протоколу HTTP, взломать ядро JD Edwards EnterpriseOne. В результате, атакующий может получить полный контроль над системой.
  Устранение: установка обновления ядра системы версии 9.2.2.4 (вышло 09 апреля 2018 года) или выше.

• CVE-2017-3736
  Уязвимость в ядре JDE (сервер приложений (Enterprise Infrastructure SEC (OpenSSL))).
  Уязвимые версии: Infrastructure Security 9.2 вплоть до 9.2.2.3.
  Относительно сложно реализуемая, данная уязвимость позволяет злоумышленнику, имеющему доступ к веб-серверу по протоколу HTTP, взломать ядро JD Edwards EnterpriseOne. В результате, атакующий может получить доступ ко всем данным системы.
  Устранение: установка обновления ядра системы версии 9.2.2.4 (вышло 09 апреля 2018 года) или выше.