預(yù)警:Oracle Identity Manager默認(rèn)賬號(hào)漏洞

責(zé)任編輯:editor005

2017-11-01 14:31:09

摘自:E安全

根據(jù)公告,Oracle Identity Manager存在身份驗(yàn)證的漏洞,根據(jù)分析官方文檔發(fā)現(xiàn)是內(nèi)置的用戶賬號(hào)漏洞。高危:默認(rèn)賬號(hào)在官方文檔中早已公開,而官方又說明不要對(duì)該賬號(hào)做用戶名和密碼更改,因此建議盡快安裝安全更新補(bǔ)丁。

1、Oracle Identity Manager漏洞公告

2017年10月27日,Oracle公告了Oracle Identity Manager存在安全漏洞,對(duì)應(yīng)CVE編號(hào):CVE-2017-10151,漏洞公告鏈接。

根據(jù)公告,Oracle Identity Manager存在身份驗(yàn)證的漏洞,根據(jù)分析官方文檔發(fā)現(xiàn)是內(nèi)置的用戶賬號(hào)漏洞。

2、Oracle Identity Manager默認(rèn)用戶賬號(hào)

根據(jù)官方文檔描述,Oracle Identity Manager在安裝的時(shí)候會(huì)創(chuàng)建3個(gè)默認(rèn)用戶賬號(hào):XELSYSADM、WEBLOGIC、OIMINTERNAL,其中XELSYSADM、WEBLOGIC賬號(hào)密碼在安裝時(shí)定義,而OIMINTERNAL賬號(hào)密碼內(nèi)置,默認(rèn)是:“single space character”即單個(gè)空格,更有意思的是官方特別提到:“Do not change the user name or password of this account.”即不要更改此帳戶的用戶名或密碼。

官方對(duì)默認(rèn)賬號(hào)的具體描述。

3、漏洞描述

由于存在已知密碼的賬號(hào)OIMINTERNAL,Oracle Identity Manager容易受到惡意攻擊,進(jìn)一步可能導(dǎo)致敏感數(shù)據(jù)泄露和權(quán)限提升,目前Oracle已經(jīng)提供安全更新補(bǔ)丁,請(qǐng)及時(shí)安裝。

4、影響版本范圍

根據(jù)官方公告,已知存在漏洞的Oracle Identity Manager版本包括:

11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0

官方更新補(bǔ)丁下載地址(需要登錄):
https://support.oracle.com/rs?type=doc&id=2322316.1

5、緩解措施(安全運(yùn)營(yíng)建議)

更新:檢查受影響的版本,請(qǐng)及時(shí)更新補(bǔ)丁。

高危:默認(rèn)賬號(hào)在官方文檔中早已公開,而官方又說明不要對(duì)該賬號(hào)做用戶名和密碼更改,因此建議盡快安裝安全更新補(bǔ)丁。

安全開發(fā)生命周期(SDL)建議:Oracle Identity Manager組件歷史上已經(jīng)報(bào)過多個(gè)安全漏洞,建議使用該產(chǎn)品的企業(yè)經(jīng)常關(guān)注官方安全更新公告。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)