警惕,Oracle遠(yuǎn)程安全漏洞
2017-11-10
Oracle 企業(yè)身份管理系統(tǒng)中存在一個(gè)高危漏洞��,可被遠(yuǎn)程未經(jīng)驗(yàn)證的用戶(hù)利用���,最終完全控制受影響系統(tǒng)�����。
Oracle 官方發(fā)布了安全通告�,此安全通告涉及一個(gè)影響其身份管理器的安全漏洞CVE-2017-10151)�,此漏洞可能導(dǎo)致其身份管理器受到未經(jīng)身份驗(yàn)證的網(wǎng)絡(luò)攻擊。此漏洞的CVSS v3基本分?jǐn)?shù)為10.0�,無(wú)需任何用戶(hù)交互,這個(gè)漏洞即可被利用��。
CVSS簡(jiǎn)介
CVSS : Common Vulnerability Scoring System��,即“通用漏洞評(píng)分系統(tǒng)”�����。它是一個(gè)行業(yè)公開(kāi)標(biāo)準(zhǔn)�����,用來(lái)評(píng)測(cè)漏洞的嚴(yán)重程度�,并幫助確定所需反應(yīng)的緊急度和重要度。得分7~10的漏洞通常被認(rèn)為比較嚴(yán)重�����,得分在4~6.9之間的是中級(jí)漏洞���,換句話(huà)說(shuō)����,CVSS基準(zhǔn)分?jǐn)?shù)為10.0分的安全漏洞��,指能夠完全攻破系統(tǒng)的安全漏洞���,攻擊者完全控制一個(gè)系統(tǒng)�����,包括操作系統(tǒng)層的管理權(quán)限���。
Oracle OIM 原理
Oracle OIM(Oracle Identity Manager)是身份信息管理的產(chǎn)品。主要工作流程是�,從可信源(如HR系統(tǒng)數(shù)據(jù)源)回收用戶(hù)信息,然后根據(jù)配置在OIM中創(chuàng)建用戶(hù)����,再將用戶(hù)推送到企業(yè)其他系統(tǒng)����,如OA�、門(mén)戶(hù)、文檔系統(tǒng)等���,從而管理企業(yè)用戶(hù)只需要一套用戶(hù)身份信息��。
OIM需要自己的數(shù)據(jù)庫(kù)��,然后通過(guò)不同的連接器連接到可信源���,回收用戶(hù)之后,再通過(guò)連接器連接到目標(biāo)系統(tǒng)�,將用戶(hù)推送到目標(biāo)系統(tǒng)當(dāng)中。在用戶(hù)回收的過(guò)程中�����,會(huì)制定客戶(hù)化的回收規(guī)則��,根據(jù)不同的規(guī)則將用戶(hù)賦予不同的角色,在根據(jù)不同的策略�����,分配用戶(hù)相應(yīng)的資源�����。
默認(rèn)賬號(hào)
OIM在安裝的時(shí)候會(huì)創(chuàng)建3個(gè)默認(rèn)用戶(hù)賬號(hào):XELSYSADM�����、WEBLOGIC�����、OIMINTERNAL�����,其中XELSYSADM��、WEBLOGIC賬號(hào)密碼在安裝時(shí)定義�,而OIMINTERNAL賬號(hào)密碼內(nèi)置�����,并且官方特別說(shuō)明:不要更改此帳戶(hù)的用戶(hù)名或密碼。但OIMINTERNAL賬號(hào)密碼內(nèi)置���,默認(rèn)是單個(gè)空格(single space character)��。因此存在已知密碼的賬號(hào)OIMINTERNAL容易導(dǎo)致OIM受到惡意攻擊��,進(jìn)一步可能導(dǎo)致敏感數(shù)據(jù)泄露和權(quán)限提升.以至于無(wú)需任何用戶(hù)交互�,這個(gè)漏洞即可被利用�。
漏洞影響
這個(gè)漏洞影響Oracle Fusion中間件的身份管理器OIM組件。漏洞允許攻擊者在未獲取合法身份憑證的條件下���,通過(guò)HTTP遠(yuǎn)程訪(fǎng)問(wèn)進(jìn)行漏洞利用���,也就是說(shuō)位于同一網(wǎng)絡(luò)的未經(jīng)驗(yàn)證的攻擊者能,能夠通過(guò)HTTP訪(fǎng)問(wèn)一個(gè)“默認(rèn)賬戶(hù)”���,從而攻陷OIM�����。
受影響的版本
Oracle身份管理器版本:11.1.1.7���,11.1.1.9���,11.1.2.1.0,11.1.2.2.0��,11.1.2.3.0�,12.2.1.3.0
解決方案
Oracle 為所有受該漏洞影響的產(chǎn)品發(fā)布了補(bǔ)丁�,并且一些早期版本可能也受這些漏洞的影響,因此�,Oracle 建議客戶(hù)升級(jí)至受支持的版本。并且由于該漏洞的嚴(yán)重性如此之高����,因此Oracle 強(qiáng)烈建議客戶(hù)立即更新。
參考連接:http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151-4016513.html
