ORACLE VULNERABILIDAD EN DEFAULT ACCOUNT

Oracle ha lanzado parches para un problema de seguridad que afecta al Gestor de identidades de Oracle que ha recibido una puntuación 10 de 10 en la escala de gravedad de errores CVSSv3

Oracle se ha mantenido hermético sobre el tema y no ha lanzado ningún tipo de explicación significativa en un intento de retrasar el inicio de los ataques que intentan aprovecharse de este problema, siempre y cuando sea posible, dando a los clientes más tiempo para parchear.

Sin password la cuenta predeterminada que se encuentra en OIM middleware

El producto afectado es Oracle Identity Manager (OIM), es una solución de gestión integrada que permite a las empresas controlar qué partes de sus empleados de la red pueden acceder. OIM forma parte del altamente popular ofrece Fusion Middleware de Oracle y es uno de sus componentes más utilizados

Oracle describe el problema, rastreado bajo el identificador CVE-2.017-10.151, como una vulnerabilidad de la "cuenta predeterminada", un término general que se utiliza generalmente para describir cuentas sin contraseña o credenciales codificados (también conocido como cuentas de puerta trasera).

"Esta vulnerabilidad es explotable remotamente sin autenticación, es decir, puede ser explotado a través de una red sin necesidad de credenciales de usuario", dijo Oracle en una alerta de seguridad.

Mientras que otras compañías también fueron capturados incluyendo cuentas por defecto, por lo general se incluyen con fines de depuración, la mayoría sólo son accesibles a nivel local y por lo menos tener una contraseña. Tener una cuenta predeterminada sin contraseña puede acceder a través de Internet es una terrible idea o una enorme descuido.

Oracle lanzó parches el 27 de octubre. Oracle Identity Manager versiones 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0 y se confirman afectados pero Oracle dice que las versiones anteriores también pueden ser vulnerables.

El 16 de octubre, Oracle lanzó la actualización trimestral de octubre de 2017 Actualización Crítica (CPU). La empresa soluciono 252 errores. CVE-2017 a 10151 no era uno de ellos. Se aconseja a los usuarios que utilizan Oracle Middleware para leer más reciente de la compañía alerta de seguridad para obtener instrucciones de parches OIM, e instalar la CPU de octubre de 2017.

Fecha actualización el 2021-10-31. Fecha publicación el 2017-10-31. Categoría: Oracle. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer
Oracle vulnerabilidad