Nul
Bestand Foto
Oracle heeft gebroken zijn gebruikelijke kwartaal Critical Patch Update (CPU) cyclus vrij te geven voor een dringende oplossing voor een beveiligingslek waardoor aanvallers toegang tot enterprise-software op afstand, zonder verificatie.
De kwetsbaarheid CVE-2017-10151, kan resulteren in een “complete compromis van Oracle Identity Manager via een niet-geverifieerde het netwerk aan te vallen”, aldus het bedrijf.
De bug is afgegeven een CVSS score van 10, de hoogste in de ernst van het mogelijke.
Aanvallers kunnen op afstand over te nemen van de software zonder voorafgaande verificatie, en dus geen geldige gebruikersaccount referenties zijn vereist. Verbindingen naar kwetsbare software kan gedaan worden via HTTP.
Volgens NIST, de kwetsbaarheid is “eenvoudig exploiteerbare”
Oracle Identity Manager is een component in Oracle Identity Management beheert en valideert de identiteit van gebruikers en de toegang tot de bedrijfssystemen.
De bug effecten van Oracle Identity Manager versies 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, en 12.2.1.3.0.
Echter, Oracle zegt dat producten die niet onder Product Premier Support of Uitgebreide Ondersteuning zijn niet getest op de aanwezigheid van kwetsbaarheden aangepakt door het advies, en “het is waarschijnlijk dat eerdere versies van de betrokken releases worden ook beïnvloed door deze kwetsbaarheden.”
“Terwijl de kwetsbaarheid in Oracle Identity Manager, aanvallen wezenlijke invloed kunnen hebben op aanvullende producten,” NIST zegt.
Oracle heeft smeekte IT-beheerders de patch toe te passen “onverwijld” door de ernst van het probleem.
Zie ook: Oracle-CEO Mark Hurd, de AI moet niet een stand-alone applicatie
Vorige maand, Oracle gepatcht een totaal van 252 kwetsbaarheden in de onderneming in het laatste kwartaal patch update. Oracle Fusion Middleware, Oracle Gastvrijheid, Oracle, MySQL en PeopleSoft kreeg de meeste correcties — en Java -, van nature, was ook aanwezig is — om problemen op te lossen met inbegrip van de uitvoering van externe code bugs, Permanente Cross-Site Scripting (XSS) gebreken, en SQL-injectie kwetsbaarheden.
De volgende Oracle patch update buiten emergency fixes wordt verwacht dat het land op 16 januari 2018.
Vorige en aanverwante dekking
Oracle introduceert de Container Native Applicatie-Ontwikkeling Platform OpenWorld 2017: Wat we geleerd hebben over Oracle ‘s AI, cloud-strategieën voor Oracle’ s Larry Ellison: De weg om gegevensdiefstal te voorkomen is meer automatisering
Verwante Onderwerpen:
Oracle
Beveiliging TV
Data Management
CXO
Datacenters
0