آسیب‌پذیری بسیار بحرانی در سیستم مدیریت هویت اوراکل

خلاصه: یک آسیب‌پذیری بحرانی در سیستم مدیریت هویت سازمانی اوراکل (Enterprise identity management system) کشف شده است که می‌تواند توسط هکر غیرمجاز از راه دور برای گرفتن کنترل کل سیستم مورد بهره‌برداری قرار گیرد.

این آسیب‌پذیری با عنوان CVE-2017-10151 ردیابی می‌شود، و امتیاز CVSS آن برابر ۱۰ می‌باشد. اوراکل وصله‌هایی را برای رفع این آسیب‌پذیری منتشر کرده است.

 یک آسیب‌پذیری بحرانی در سیستم مدیریت هویت سازمانی اوراکل (Enterprise identity management system) کشف شده است که می‌تواند توسط هکر غیرمجاز از راه دور برای گرفتن کنترل کل سیستم مورد بهره‌برداری قرار گیرد.

این آسیب‌پذیری با عنوان CVE-2017-10151 ردیابی می‌شود، و امتیاز CVSS آن برابر ۱۰ می‌باشد. همچنین بهره‌برداری از این آسیب‌پذیری آسان بوده و طبق گفته‌ی اوراکل توصیه‌هایی (بدون نشان دادن جزییات مشکل) برای آن منتشر شده است.

این آسیب‌پذیری کامپوننت مدیریت هویت اوراکل (OIM) را تحت تأثیر قرار می‌دهد. (OIM یک سیستم مدیریت هویت سازمانی است که امتیازهای دسترسی کاربران داخل سازمان را مدیریت می‌کند.)

این نقص امنیتی ناشی از یک حساب پیشفرض است که یک مهاجم احراز هویت نشده در یک شبکه‌ی یکسان می‌تواند با استفاده از HTTP به آن برای به دست آوردن مدیر هویت اوراکل، دسترسی پیدا کند.

اوراکل برای جلوگیری از بهره‌برداری از این آسیب‌پذیری جزییات کامل آن را منتشر نکرده است.

این آسیب‌پذیری قابل بهره‌برداری، نسخه‌های 11.1.1.7، 11.1.1.9، 11.1.2.1.0، 11.1.2.2.0، 11.1.2.3.0 و 12.2.1.3.0 را تحت تأثیر قرار داده است. و اوراکل وصله‌هایی را برای همه‌ی نسخه‌های محصولات تحت تاثییر واقع‌شده منتشر کرده است، بنابراین توصیه می‌شود که وصله‌ها را قبل از اینگه هکرها شانسی برای بهره‌برداری از این آسیب‌پذیری پیدا کنند، نصب کنید.

محصولاتی از اوراکل که دیگر پشتیبانی نمی‌شوندبرای وجود آسیب‌پذیری تست نشده‌اند، به هرحال به گفته‌ی اوراکل احتمالاً نسخه‌های قبلی نیز تحت تأثیر این آسیب‌پذیری بوده درنتیجه مشتریان بهتر است که محصول مورد استفاد‌ی خود را به نسخه‌های پشتیبانی‌شده ارتقا دهند.

وصله‌ی امنیتی مربوط به این آسیب‌پذیری دو هفته بعد از به‌روزرسانی منظم اوراکل منتشر شد که در مجموع 252 آسیب‌پذیری در محصولاتش را وصله می‌کند.