记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

【国际资讯】高危漏洞(CVSS评分10)导致甲骨文身份管理器易遭劫持

2017-11-01 13:55

【国际资讯】高危漏洞(CVSS评分10)导致甲骨文身份管理器易遭劫持

2017-11-01 13:50:15 阅读:107次 收藏 来源: thehackernews.com 作者:360代码卫士

http://p1.qhimg.com/t0102f61e502bf41d77.png


简介


甲骨文企业身份管理系统中存在一个高危漏洞,可被远程未经验证的用户利用,完全控制受影响系统。

官网更新信息:http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151-4016513.html 


漏洞可经由“默认账户”攻陷OIM


这个高危漏洞的编号是CVE-2017-10151CVSS评分为满分10分。无需任何用户交互,这个漏洞即可遭利用。甲骨文在周一发布的安全公告中并未透露关于该问题的任何详情。

这个漏洞影响甲骨文Fusion中间件的身份管理器 (OIM) 组件。Fusion中间件是一个企业身份管理系统,可自动管理企业内用户的访问权限。

这个高危漏洞产生的原因在于,位于同一网络的未经验证的攻击者能够通过HTTP访问一个“默认账户”,从而攻陷OIM。

甲骨文并未发布漏洞的相关详情,以阻止它被利用,不过这里说的“默认账户”可能是一个具有硬编码密码或无密码的秘密账户。甲骨文在安全公告中指出,“这个漏洞在未经验证的情况下可遭远程利用,也就是说可在无需用户凭证的情况下遭利用。”


漏洞影响的OIM版本


这个易遭利用的漏洞影响甲骨文OIM版本 11.1.1.7、11.1.1.9、11.1.2.1.0、 11.1.2.2.0、11.1.2.3.0和12.2.1.3.0。


建议立即安装安全更新


甲骨文为所有受影响产品发布了补丁,因此建议用户在黑客利用该漏洞攻击企业之前安装补丁。

甲骨文警告称,“由于该漏洞的严重性如此之高,因此甲骨文强烈建议客户立即由安全警告提供的更新。

不受Premier Support或Extended Support支持的产品发布并未测试是否受该漏洞影响。

然而,甲骨文表示,“可能受影响发布的早期版本也受这些漏洞的影响。因此,甲骨文建议客户升级至受支持版本。”

这个漏洞的安全补丁是在甲骨文为2017年10月例行发布重要补丁更新 (CPU) 之后的两周左右发布的。10月份的CPU共修复了产品中的252个漏洞,包括Fusion中间件中的40个漏洞,其中26个漏洞可在未经验证的情况下遭远程利用。


本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://thehackernews.com/2017/10/oracle-identity-manager.html

知识来源: bobao.360.cn/news/detail/4359.html

阅读:66132 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“【国际资讯】高危漏洞(CVSS评分10)导致甲骨文身份管理器易遭劫持”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云