【每日安全资讯】高危漏洞（CVSS评分10）导致甲骨文身份管理器易被劫持

简介

甲骨文企业身份管理系统中存在一个高危漏洞，可被远程未经验证的用户利用，最终完全控制受影响系统。

官网更新信息：http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151-4016513.html

漏洞可通过“默认账户”攻陷OIM

这个高危漏洞的编号是CVE-2017-10151，CVSS评分为满分10分。无需任何用户交互，这个漏洞即可被利用。甲骨文在周一发布的安全公告中并未透露关于该问题的任何详情。

这个漏洞影响甲骨文Fusion中间件的身份管理器 (OIM) 组件。Fusion中间件是一个企业身份管理系统，可自动管理企业内用户的访问权限。

这个高危漏洞产生的原因在于，位于同一网络的未经验证的攻击者能够通过HTTP访问一个“默认账户”，从而攻陷OIM。

为防止该漏洞被利用，甲骨文并未发布漏洞的详情，不过这里说的“默认账户”可能是一个具有硬编码密码或无密码的秘密账户。甲骨文在安全公告中指出，“这个漏洞在未经验证的情况下可被远程利用，也就是说可在无需用户凭证的情况下被利用。”

受漏洞影响的OIM版本

这个易被利用的漏洞影响甲骨文的以下OIM版本： 11.1.1.7、11.1.1.9、11.1.2.1.0、 11.1.2.2.0、11.1.2.3.0和12.2.1.3.0。

建议立即安装安全更新

甲骨文为所有受该漏洞影响的产品发布了补丁，因此建议用户赶紧安装补丁，以免该漏洞被黑客利用用于攻击企业。

甲骨文警告称，“由于该漏洞的严重性如此之高，因此甲骨文强烈建议客户立即更新。”

至于那些不受Premier Support或Extended Support支持的产品是否受该漏洞影响，甲骨文并没有测试。

然而，甲骨文表示，“一些早期版本可能也受这些漏洞的影响。因此，甲骨文建议客户升级至受支持的版本。”

这个漏洞的安全补丁是在甲骨文为2017年10月例行发布重要补丁更新 (CPU) 之后的两周左右发布的。10月份的CPU共修复了产品中的252个漏洞，包括Fusion中间件中的40个漏洞，其中26个漏洞可在未经验证的情况下被远程利用。

本文由 安全客 翻译，原文链接：https://thehackernews.com/2017/10/oracle-identity-manager.html

更多资讯

◈ 安全: Signal 发布独立桌面版

http://t.cn/Rlz3DZ0

必升！iOS 11.1正式版发布：苹果修复重大安全漏洞

http://t.cn/Rlz3k6P

面对“海豚音攻击”无还手之力 快给手机穿上“铁布衫”

http://t.cn/Rlz3sJj

高校学生信息泄露被放贷人骚扰:名单是学生会给的

http://t.cn/Rlz1vYO

（信息来源于网络，安华金和搜集整理）