首页 > 信息安全 > 正文

预警:Oracle Identity Manager默认账号漏洞

2017-11-02 13:41:30  来源:e行网

摘要:近日,Oracle公告了Oracle Identity Manager存在安全漏洞,对应CVE编号:CVE-2017-10151,漏洞公告链接。
关键词: 漏洞
\

  1、Oracle Identity Manager漏洞公告
 
  近日,Oracle公告了Oracle Identity Manager存在安全漏洞,对应CVE编号:CVE-2017-10151,漏洞公告链接。
 
  根据公告,Oracle Identity Manager存在身份验证的漏洞,根据分析官方文档发现是内置的用户账号漏洞。
 
  2、Oracle Identity Manager默认用户账号
 
  根据官方文档描述,Oracle Identity Manager在安装的时候会创建3个默认用户账号:XELSYSADM、WEBLOGIC、OIMINTERNAL,其中XELSYSADM、WEBLOGIC账号密码在安装时定义,而OIMINTERNAL账号密码内置,默认是:“single space character”即单个空格,更有意思的是官方特别提到:“Do not change the user name or password of this account.”即不要更改此帐户的用户名或密码。
 
  官方对默认账号的具体描述。
 
  3、漏洞描述
 
  由于存在已知密码的账号OIMINTERNAL,Oracle Identity Manager容易受到恶意攻击,进一步可能导致敏感数据泄露和权限提升,目前Oracle已经提供安全更新补丁,请及时安装。
 
  4、影响版本范围
 
  根据官方公告,已知存在漏洞的Oracle Identity Manager版本包括:
 
  11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0
 
  官方更新补丁下载地址(需要登录):
 
  https://support.oracle.com/rs?type=doc&id=2322316.1
 
  5、缓解措施(安全运营建议)
 
  更新:检查受影响的版本,请及时更新补丁。
 
  高危:默认账号在官方文档中早已公开,而官方又说明不要对该账号做用户名和密码更改,因此建议尽快安装安全更新补丁。
 
  安全开发生命周期(SDL)建议:Oracle Identity Manager组件历史上已经报过多个安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。
 


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:lixiaojiao

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。