警惕,Oracle远程安全漏洞
2017-11-10
Oracle 企业身份管理系统中存在一个高危漏洞,可被远程未经验证的用户利用,最终完全控制受影响系统。
Oracle 官方发布了安全通告,此安全通告涉及一个影响其身份管理器的安全漏洞CVE-2017-10151),此漏洞可能导致其身份管理器受到未经身份验证的网络攻击。此漏洞的CVSS v3基本分数为10.0,无需任何用户交互,这个漏洞即可被利用。
CVSS简介
CVSS : Common Vulnerability Scoring System,即“通用漏洞评分系统”。它是一个行业公开标准,用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,换句话说,CVSS基准分数为10.0分的安全漏洞,指能够完全攻破系统的安全漏洞,攻击者完全控制一个系统,包括操作系统层的管理权限。
Oracle OIM 原理
Oracle OIM(Oracle Identity Manager)是身份信息管理的产品。主要工作流程是,从可信源(如HR系统数据源)回收用户信息,然后根据配置在OIM中创建用户,再将用户推送到企业其他系统,如OA、门户、文档系统等,从而管理企业用户只需要一套用户身份信息。
OIM需要自己的数据库,然后通过不同的连接器连接到可信源,回收用户之后,再通过连接器连接到目标系统,将用户推送到目标系统当中。在用户回收的过程中,会制定客户化的回收规则,根据不同的规则将用户赋予不同的角色,在根据不同的策略,分配用户相应的资源。
默认账号
OIM在安装的时候会创建3个默认用户账号:XELSYSADM、WEBLOGIC、OIMINTERNAL,其中XELSYSADM、WEBLOGIC账号密码在安装时定义,而OIMINTERNAL账号密码内置,并且官方特别说明:不要更改此帐户的用户名或密码。但OIMINTERNAL账号密码内置,默认是单个空格(single space character)。因此存在已知密码的账号OIMINTERNAL容易导致OIM受到恶意攻击,进一步可能导致敏感数据泄露和权限提升.以至于无需任何用户交互,这个漏洞即可被利用。
漏洞影响
这个漏洞影响Oracle Fusion中间件的身份管理器OIM组件。漏洞允许攻击者在未获取合法身份凭证的条件下,通过HTTP远程访问进行漏洞利用,也就是说位于同一网络的未经验证的攻击者能,能够通过HTTP访问一个“默认账户”,从而攻陷OIM。
受影响的版本
Oracle身份管理器版本:11.1.1.7,11.1.1.9,11.1.2.1.0,11.1.2.2.0,11.1.2.3.0,12.2.1.3.0
解决方案
Oracle 为所有受该漏洞影响的产品发布了补丁,并且一些早期版本可能也受这些漏洞的影响,因此,Oracle 建议客户升级至受支持的版本。并且由于该漏洞的严重性如此之高,因此Oracle 强烈建议客户立即更新。
参考连接:http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151-4016513.html
