高危漏洞(CVSS评分10)导致甲骨文身份管理器易被劫持
简介
甲骨文企业身份管理系统中存在一个高危漏洞,可被远程未经验证的用户利用,最终完全控制受影响系统。
官网更新信息:http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151-4016513.html
漏洞可通过“默认账户”攻陷OIM
这个高危漏洞的编号是CVE-2017-10151,CVSS评分为满分10分。无需任何用户交互,这个漏洞即可被利用。甲骨文在周一发布的安全公告中并未透露关于该问题的任何详情。
这个漏洞影响甲骨文Fusion中间件的身份管理器 (OIM) 组件。Fusion中间件是一个企业身份管理系统,可自动管理企业内用户的访问权限。
这个高危漏洞产生的原因在于,位于同一网络的未经验证的攻击者能够通过HTTP访问一个“默认账户”,从而攻陷OIM。
为防止该漏洞被利用,甲骨文并未发布漏洞的详情,不过这里说的“默认账户”可能是一个具有硬编码密码或无密码的秘密账户。甲骨文在安全公告中指出,“这个漏洞在未经验证的情况下可被远程利用,也就是说可在无需用户凭证的情况下被利用。”
受漏洞影响的OIM版本
这个易被利用的漏洞影响甲骨文的以下OIM版本: 11.1.1.7、11.1.1.9、11.1.2.1.0、 11.1.2.2.0、11.1.2.3.0和12.2.1.3.0。
建议立即安装安全更新
甲骨文为所有受该漏洞影响的产品发布了补丁,因此建议用户赶紧安装补丁,以免该漏洞被黑客利用用于攻击企业。
甲骨文警告称,“由于该漏洞的严重性如此之高,因此甲骨文强烈建议客户立即更新。”
至于那些不受Premier Support或Extended Support支持的产品是否受该漏洞影响,甲骨文并没有测试。
然而,甲骨文表示,“一些早期版本可能也受这些漏洞的影响。因此,甲骨文建议客户升级至受支持的版本。”
这个漏洞的安全补丁是在甲骨文为2017年10月例行发布重要补丁更新 (CPU) 之后的两周左右发布的。10月份的CPU共修复了产品中的252个漏洞,包括Fusion中间件中的40个漏洞,其中26个漏洞可在未经验证的情况下被远程利用。
本文由 安全客 翻译,原文链接:https://thehackernews.com/2017/10/oracle-identity-manager.html
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 澳门是伟大祖国的一方宝地 7981806
- 2 女子穿和服在南京景区拍照遭怒怼 7918199
- 3 日本火山喷发灰柱高达3400米 7804332
- 4 2024 向上的中国 7756432
- 5 肖战新片射雕英雄传郭靖造型曝光 7629880
- 6 大三女生练咏春一起手眼神骤变 7529991
- 7 胡军演洪七公 7450680
- 8 男子钓上一条自带“赎金”的鱼 7391895
- 9 赵丽颖带儿子探班 7206545
- 10 高考601分女生为何选择殡葬专业 7120137