警惕����,Oracle遠(yuǎn)程安全漏洞
2017-11-10
Oracle 企業(yè)身份管理系統(tǒng)中存在一個高危漏洞�����,可被遠(yuǎn)程未經(jīng)驗證的用戶利用�����,最終完全控制受影響系統(tǒng)。
Oracle 官方發(fā)布了安全通告����,此安全通告涉及一個影響其身份管理器的安全漏洞CVE-2017-10151),此漏洞可能導(dǎo)致其身份管理器受到未經(jīng)身份驗證的網(wǎng)絡(luò)攻擊����。此漏洞的CVSS v3基本分?jǐn)?shù)為10.0,無需任何用戶交互���,這個漏洞即可被利用。
CVSS簡介
CVSS : Common Vulnerability Scoring System��,即“通用漏洞評分系統(tǒng)”��。它是一個行業(yè)公開標(biāo)準(zhǔn)���,用來評測漏洞的嚴(yán)重程度��,并幫助確定所需反應(yīng)的緊急度和重要度��。得分7~10的漏洞通常被認(rèn)為比較嚴(yán)重���,得分在4~6.9之間的是中級漏洞,換句話說,CVSS基準(zhǔn)分?jǐn)?shù)為10.0分的安全漏洞��,指能夠完全攻破系統(tǒng)的安全漏洞�,攻擊者完全控制一個系統(tǒng),包括操作系統(tǒng)層的管理權(quán)限����。
Oracle OIM 原理
Oracle OIM(Oracle Identity Manager)是身份信息管理的產(chǎn)品。主要工作流程是����,從可信源(如HR系統(tǒng)數(shù)據(jù)源)回收用戶信息,然后根據(jù)配置在OIM中創(chuàng)建用戶�����,再將用戶推送到企業(yè)其他系統(tǒng)����,如OA、門戶�����、文檔系統(tǒng)等��,從而管理企業(yè)用戶只需要一套用戶身份信息。
OIM需要自己的數(shù)據(jù)庫��,然后通過不同的連接器連接到可信源�,回收用戶之后,再通過連接器連接到目標(biāo)系統(tǒng)�����,將用戶推送到目標(biāo)系統(tǒng)當(dāng)中���。在用戶回收的過程中���,會制定客戶化的回收規(guī)則��,根據(jù)不同的規(guī)則將用戶賦予不同的角色�����,在根據(jù)不同的策略��,分配用戶相應(yīng)的資源���。
默認(rèn)賬號
OIM在安裝的時候會創(chuàng)建3個默認(rèn)用戶賬號:XELSYSADM��、WEBLOGIC�����、OIMINTERNAL���,其中XELSYSADM�����、WEBLOGIC賬號密碼在安裝時定義�,而OIMINTERNAL賬號密碼內(nèi)置�����,并且官方特別說明:不要更改此帳戶的用戶名或密碼���。但OIMINTERNAL賬號密碼內(nèi)置����,默認(rèn)是單個空格(single space character)�。因此存在已知密碼的賬號OIMINTERNAL容易導(dǎo)致OIM受到惡意攻擊,進(jìn)一步可能導(dǎo)致敏感數(shù)據(jù)泄露和權(quán)限提升.以至于無需任何用戶交互�,這個漏洞即可被利用��。
漏洞影響
這個漏洞影響Oracle Fusion中間件的身份管理器OIM組件���。漏洞允許攻擊者在未獲取合法身份憑證的條件下,通過HTTP遠(yuǎn)程訪問進(jìn)行漏洞利用����,也就是說位于同一網(wǎng)絡(luò)的未經(jīng)驗證的攻擊者能,能夠通過HTTP訪問一個“默認(rèn)賬戶”����,從而攻陷OIM。
受影響的版本
Oracle身份管理器版本:11.1.1.7��,11.1.1.9�,11.1.2.1.0,11.1.2.2.0���,11.1.2.3.0,12.2.1.3.0
解決方案
Oracle 為所有受該漏洞影響的產(chǎn)品發(fā)布了補(bǔ)丁�,并且一些早期版本可能也受這些漏洞的影響,因此�����,Oracle 建議客戶升級至受支持的版本。并且由于該漏洞的嚴(yán)重性如此之高����,因此Oracle 強(qiáng)烈建議客戶立即更新。
參考連接:http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151-4016513.html
