RU EN

Критическая уязвимость в Oracle Fusion Middleware

31.10.2017

Компания Oracle в экстренном порядке выпустила информационный бюллетень, посвященный опасной уязвимости в компоненте Identity Manager облачной бизнес-платформы Fusion Middleware. Данная брешь, оцененная в 10,0 балла по шкале CVSS, допускает удаленный эксплойт без аутентификации и позволяет установить полный контроль над уязвимым продуктом.

Проблема возникла из-за возможности HTTP-доступа к дефолтному аккаунту. В описании CVE-2017-10151 на сайте MITRE.org сказано: «При наличии сетевого доступа по HTTP простая в эксплуатации уязвимость позволяет неаутентифицированному злоумышленнику скомпрометировать Oracle Identity Manager». Участие пользователя при этом не требуется.

Наличие критической бреши подтверждено для Identity Manager поддерживаемых версий 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 и 12.2.1.3.0. Вполне вероятно, что CVE-2017-10151 присутствует и в более ранних версиях диспетчера идентификации. Oracle также отметила, что успешная атака на CVE-2017-10151 не только приведет к захвату уязвимого компонента, но и может негативным образом отразиться на других продуктах.

На настоящий момент разработчик предлагает надежный способ временной защиты и обещает обновить бюллетень, когда появятся полноценные заплатки. При этом пользователям напоминают, что патчи, выпущенные в рамках программы Security Alert, доступны лишь для версий продуктов с расширенной или премьер-поддержкой.

threatpost.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.