2017年10月27日,Oracle公告了Oracle Identity Manager存在安全漏洞,對(duì)應(yīng)CVE編號(hào):CVE-2017-10151,漏洞公告鏈接。
根據(jù)公告,Oracle Identity Manager存在身份驗(yàn)證的漏洞,根據(jù)分析官方文檔發(fā)現(xiàn)是內(nèi)置的用戶賬號(hào)漏洞。
2、Oracle Identity Manager默認(rèn)用戶賬號(hào)根據(jù)官方文檔描述,Oracle Identity Manager在安裝的時(shí)候會(huì)創(chuàng)建3個(gè)默認(rèn)用戶賬號(hào):XELSYSADM、WEBLOGIC、OIMINTERNAL,其中XELSYSADM、WEBLOGIC賬號(hào)密碼在安裝時(shí)定義,而OIMINTERNAL賬號(hào)密碼內(nèi)置,默認(rèn)是:“single space character”即單個(gè)空格,更有意思的是官方特別提到:“Do not change the user name or password of this account.”即不要更改此帳戶的用戶名或密碼。
官方對(duì)默認(rèn)賬號(hào)的具體描述。
3、漏洞描述由于存在已知密碼的賬號(hào)OIMINTERNAL,Oracle Identity Manager容易受到惡意攻擊,進(jìn)一步可能導(dǎo)致敏感數(shù)據(jù)泄露和權(quán)限提升,目前Oracle已經(jīng)提供安全更新補(bǔ)丁,請(qǐng)及時(shí)安裝。
4、影響版本范圍
根據(jù)官方公告,已知存在漏洞的Oracle Identity Manager版本包括:
11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0
官方更新補(bǔ)丁下載地址(需要登錄):
https://support.oracle.com/rs?type=doc&id=2322316.1
更新:檢查受影響的版本,請(qǐng)及時(shí)更新補(bǔ)丁。
高危:默認(rèn)賬號(hào)在官方文檔中早已公開,而官方又說明不要對(duì)該賬號(hào)做用戶名和密碼更改,因此建議盡快安裝安全更新補(bǔ)丁。
安全開發(fā)生命周期(SDL)建議:Oracle Identity Manager組件歷史上已經(jīng)報(bào)過多個(gè)安全漏洞,建議使用該產(chǎn)品的企業(yè)經(jīng)常關(guān)注官方安全更新公告。