Oracle被爆高危漏洞，攻擊者可劫持用戶賬戶

在Oracle企業身份管理系統中發現了一個嚴重的高危漏洞，這個漏洞可以讓遠程攻擊者在未經認證的情況下獲得系統完全的控制權。

Oracle在周一公開的報告中指出，這個漏洞被賦予CVE-2017-10151的同時，也因為容易被任意用戶利用的原因，CVSS給了最高的10分的評級。但除了以上信息，Oracle並未公開更多細節。

受該漏洞影響的是企業身份管理系統Oracle Fusion Middleware中的Oracle Identity Manager (OIM)組件，該組件可自動管理用戶對企業的訪問許可權。

造成這一漏洞的原因其實就是一個「默認賬戶」，也就是說在同一網路下，未授權攻擊者可以功過HTTP訪問Oracle的身份管理系統。為了防止該漏洞被攻擊者惡意利用，Oracle目前還沒有公布漏洞詳情。

受影響的系統版本

Oracle Identity Manager 11.1.1.7

Oracle Identity Manager 11.1.1.9

Oracle Identity Manager 11.1.2.1.0

Oracle Identity Manager 11.1.2.2.0

Oracle Identity Manager 11.1.2.3.0

Oracle Identity Manager 12.2.1.3.0

Oracle已經推出了補丁更新，請用戶儘快更新到最新版本。

Oracle警告：「鑒於本漏洞的嚴重威脅，Oracle強烈建議客戶在看到這個安全提示後馬上更新不要猶豫。」同時Oracle還聲明「貌似受影響的產品的早期版本也會被此漏洞影響。所以，Oracle建議客戶們升級到有技術支持的版本。」

如若轉載，請註明原文地址： http://www.4hou.com/info/news/8281.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：