1、Oracle Identity Manager漏洞公告
近日,Oracle公告了Oracle Identity Manager存在安全漏洞,对应CVE编号:CVE-2017-10151,漏洞公告链接。
根据公告,Oracle Identity Manager存在身份验证的漏洞,根据分析官方文档发现是内置的用户账号漏洞。
2、Oracle Identity Manager默认用户账号
根据官方文档描述,Oracle Identity Manager在安装的时候会创建3个默认用户账号:XELSYSADM、WEBLOGIC、OIMINTERNAL,其中XELSYSADM、WEBLOGIC账号密码在安装时定义,而OIMINTERNAL账号密码内置,默认是:“single space character”即单个空格,更有意思的是官方特别提到:“Do not change the user name or password of this account.”即不要更改此帐户的用户名或密码。
官方对默认账号的具体描述。
3、漏洞描述
由于存在已知密码的账号OIMINTERNAL,Oracle Identity Manager容易受到恶意攻击,进一步可能导致敏感数据泄露和权限提升,目前Oracle已经提供安全更新补丁,请及时安装。
4、影响版本范围
根据官方公告,已知存在漏洞的Oracle Identity Manager版本包括:
11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0
官方更新补丁下载地址(需要登录):
https://support.oracle.com/rs?type=doc&id=2322316.1
5、缓解措施(安全运营建议)
更新:检查受影响的版本,请及时更新补丁。
高危:默认账号在官方文档中早已公开,而官方又说明不要对该账号做用户名和密码更改,因此建议尽快安装安全更新补丁。
安全开发生命周期(SDL)建议:Oracle Identity Manager组件历史上已经报过多个安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。