导语:在Oracle企业身份管理系统中发现了一个严重的高危漏洞,这个漏洞可以让远程攻击者在未经认证的情况下获得系统完全的控制权。

在Oracle企业身份管理系统中发现了一个严重的高危漏洞,这个漏洞可以让远程攻击者在未经认证的情况下获得系统完全的控制权。

Oracle在周一公开的报告中指出,这个漏洞被赋予CVE-2017-10151的同时,也因为容易被任意用户利用的原因,CVSS给了最高的10分的评级。但除了以上信息,Oracle并未公开更多细节。

oracle-identity-manager-default-account-exploit-min.png

受该漏洞影响的是企业身份管理系统Oracle Fusion Middleware中的Oracle Identity Manager (OIM)组件,该组件可自动管理用户对企业的访问权限。

造成这一漏洞的原因其实就是一个“默认账户”,也就是说在同一网络下,未授权攻击者可以功过HTTP访问Oracle的身份管理系统。为了防止该漏洞被攻击者恶意利用,Oracle目前还没有公布漏洞详情。

受影响的系统版本

Oracle Identity Manager 11.1.1.7

Oracle Identity Manager 11.1.1.9

Oracle Identity Manager 11.1.2.1.0

Oracle Identity Manager 11.1.2.2.0

Oracle Identity Manager 11.1.2.3.0

Oracle Identity Manager 12.2.1.3.0

Oracle已经推出了补丁更新,请用户尽快更新到最新版本。

Oracle警告:“鉴于本漏洞的严重威胁,Oracle强烈建议客户在看到这个安全提示后马上更新不要犹豫。”同时Oracle还声明“貌似受影响的产品的早期版本也会被此漏洞影响。所以,Oracle建议客户们升级到有技术支持的版本。”

源链接

Hacking more

...