新闻快讯
< >

预警:Oracle Identity Manager默认账号漏洞

预警:Oracle Identity Manager默认账号漏洞-E安全

1、Oracle Identity Manager漏洞公告

2017年10月27日,Oracle公告了Oracle Identity Manager存在安全漏洞,对应CVE编号:CVE-2017-10151,漏洞公告链接

根据公告,Oracle Identity Manager存在身份验证的漏洞,根据分析官方文档发现是内置的用户账号漏洞。

2、Oracle Identity Manager默认用户账号

根据官方文档描述,Oracle Identity Manager在安装的时候会创建3个默认用户账号:XELSYSADM、WEBLOGIC、OIMINTERNAL,其中XELSYSADM、WEBLOGIC账号密码在安装时定义,而OIMINTERNAL账号密码内置,默认是:“single space character”即单个空格,更有意思的是官方特别提到:“Do not change the user name or password of this account.”即不要更改此帐户的用户名或密码。

官方对默认账号的具体描述

3、漏洞描述

由于存在已知密码的账号OIMINTERNAL,Oracle Identity Manager容易受到恶意攻击,进一步可能导致敏感数据泄露和权限提升,目前Oracle已经提供安全更新补丁,请及时安装。

4、影响版本范围

根据官方公告,已知存在漏洞的Oracle Identity Manager版本包括:

11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0

官方更新补丁下载地址(需要登录):
https://support.oracle.com/rs?type=doc&id=2322316.1

5、缓解措施(安全运营建议)

更新:检查受影响的版本,请及时更新补丁。

高危:默认账号在官方文档中早已公开,而官方又说明不要对该账号做用户名和密码更改,因此建议尽快安装安全更新补丁。

安全开发生命周期(SDL)建议:Oracle Identity Manager组件历史上已经报过多个安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。