Cabecera-v2-web.jpg

Oracle publica parche para mitigar grave vulnerabilidad (10/10) en su gestor de identidades


Oracle se ha mantenido hermético sobre el tema y no ha lanzado ningún tipo de explicación significativa en un intento de retrasar el inicio de los ataques que intentan aprovecharse de este problema, siempre y cuando sea posible, dando a los clientes más tiempo para parchear.

oracle_patch_update.jpg


Sin password para la cuenta predeterminada que se encuentra en OIM middleware

El producto afectado es Oracle Identity Manager (OIM), una solución de gestión integrada que permite a las empresas controlar qué partes de sus empleados de la red pueden acceder. OIM forma parte del altamente popular ofrece Fusion Middleware de Oracle y es uno de sus componentes más utilizados.

Oracle describe el problema (con un score CVSS v3 10 sobre 10), rastreado bajo el identificador CVE-2017-10151, como una vulnerabilidad de la "cuenta predeterminada", un término que se utiliza generalmente para describir cuentas sin contraseña o credenciales codificados (también conocido como cuentas de puerta trasera).

"Esta vulnerabilidad es explotable remotamente sin autenticación, es decir, puede ser explotado a través de una red sin necesidad de credenciales de usuario", dijo Oracle en una alerta de seguridad.


Mientras que otras compañí­as también fueron capturados incluyendo cuentas por defecto, por lo general se incluyen con fines de depuración, la mayorí­a sólo son accesibles a nivel local y por lo menos tener una contraseña. Tener una cuenta predeterminada sin contraseña puede acceder a través de Internet es una terrible idea o un enorme descuido.

Oracle lanzó parches el 27 de octubre. Oracle Identity Manager versiones 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0 y se confirman afectados pero Oracle dice que las versiones anteriores también pueden ser vulnerables.

El 16 de octubre Oracle lanzó la actualización trimestral de octubre de 2017 (Actualización Crí­tica - CPU). La empresa solucionó 252 errores. CVE-2017-10151 no era uno de ellos. Se aconseja a los usuarios que utilizan Oracle Middleware leer los avisos más recientes de la compañí­a (alerta de seguridad) para obtener instrucciones.



Fuente: clasesordenador.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11