خلاصه: یک آسیبپذیری بحرانی در سیستم مدیریت هویت سازمانی اوراکل (Enterprise identity management system) کشف شده است که میتواند توسط هکر غیرمجاز از راه دور برای گرفتن کنترل کل سیستم مورد بهرهبرداری قرار گیرد.
این آسیبپذیری با عنوان CVE-2017-10151 ردیابی میشود، و امتیاز CVSS آن برابر ۱۰ میباشد. اوراکل وصلههایی را برای رفع این آسیبپذیری منتشر کرده است.
یک آسیبپذیری بحرانی در سیستم مدیریت هویت سازمانی اوراکل (Enterprise identity management system) کشف شده است که میتواند توسط هکر غیرمجاز از راه دور برای گرفتن کنترل کل سیستم مورد بهرهبرداری قرار گیرد.
این آسیبپذیری با عنوان CVE-2017-10151 ردیابی میشود، و امتیاز CVSS آن برابر ۱۰ میباشد. همچنین بهرهبرداری از این آسیبپذیری آسان بوده و طبق گفتهی اوراکل توصیههایی (بدون نشان دادن جزییات مشکل) برای آن منتشر شده است.
این آسیبپذیری کامپوننت مدیریت هویت اوراکل (OIM) را تحت تأثیر قرار میدهد. (OIM یک سیستم مدیریت هویت سازمانی است که امتیازهای دسترسی کاربران داخل سازمان را مدیریت میکند.)
این نقص امنیتی ناشی از یک حساب پیشفرض است که یک مهاجم احراز هویت نشده در یک شبکهی یکسان میتواند با استفاده از HTTP به آن برای به دست آوردن مدیر هویت اوراکل، دسترسی پیدا کند.
اوراکل برای جلوگیری از بهرهبرداری از این آسیبپذیری جزییات کامل آن را منتشر نکرده است.
این آسیبپذیری قابل بهرهبرداری، نسخههای ۱۱.۱.۱.۷، ۱۱.۱.۱.۹، ۱۱.۱.۲.۱.۰، ۱۱.۱.۲.۲.۰، ۱۱.۱.۲.۳.۰ و ۱۲.۲.۱.۳.۰ را تحت تأثیر قرار داده است. و اوراکل وصلههایی را برای همهی نسخههای محصولات تحت تاثییر واقعشده منتشر کرده است، بنابراین توصیه میشود که وصلهها را قبل از اینگه هکرها شانسی برای بهرهبرداری از این آسیبپذیری پیدا کنند، نصب کنید.
محصولاتی از اوراکل که دیگر پشتیبانی نمیشوندبرای وجود آسیبپذیری تست نشدهاند، به هرحال به گفتهی اوراکل احتمالاً نسخههای قبلی نیز تحت تأثیر این آسیبپذیری بوده درنتیجه مشتریان بهتر است که محصول مورد استفادی خود را به نسخههای پشتیبانیشده ارتقا دهند.
وصلهی امنیتی مربوط به این آسیبپذیری دو هفته بعد از بهروزرسانی منظم اوراکل منتشر شد که در مجموع ۲۵۲ آسیبپذیری در محصولاتش را وصله میکند.
