CVE-2017-10151 Oracle Identity Manager漏洞

Oracle已发布了周期外安全公告(CVE-2017-10151),以影响Oracle身份管理器。 此漏洞的CVSS 3.0基本得分为10,满分10。 Oracle Identity Manager是Oracle Identity Management解决方案中的身份管理组件。 Identity Manager的所有受支持版本从11.1.1.7到12.2.1.3.0都有影响。 从11.1.1.1到11.1.1.6也很容易受到攻击。 不基于Oracle WebLogic的早期Identity Manager版本(10g和9.x)可能不会受到攻击。

该漏洞是可以通过Oracle WebLogic服务器使用默认密码访问Oracle Identity Manager系统用户帐户(OIMINTERNAL)。 由于这是一个特权很高的用户,因此整个身份管理器环境可能会通过未经身份验证的网络攻击而完全受损。

解决方法是在“域”下的WebLogic管理控制台中将OIMINTERNAL用户密码更改为随机字符串-> Security Realms. 将来会提供补丁来自动更改密码。 有关更多信息,请参见My Oracle Support说明“ Oracle Identity Manager的Oracle Security Alert CVE-2017-10151补丁程序可用性文档(文档ID 2322316.1)”。

随着Oracle发布周期外安全公告,有关该漏洞的详细信息已经发布或即将发布,或者Oracle已获悉该漏洞正在被积极利用。

 Share this post