Oracle ha publicado
una vulnerabilidad de severidad crítica cuya explotación puede llevarse a cabo
de forma remota y sin necesidad de autenticarse en el sistema. Un atacante
podría llegar a comprometer totalmente al Oracle Identity Manager, catalogada
de Importancia: 5 - Crítica
Recursos afectados:
Oracle Identity
Manager (componente de Oracle Fusion Middleware) en sus versiones 11.1.1.7,
11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 y 12.2.1.3.0.
Detalle e Impacto de
la vulnerabilidad
Esta vulnerabilidad
fácilmente explotable, permite a un atacante no autenticado con acceso a la red
del sistema mediante el protocolo HTTP, comprometer totalmente el producto.
Además de este, otros productos de Oracle pueden ser atacados con esta
vulnerabilidad. Se ha reservado el identificador CVE-2017-10151 para esta
vulnerabilidad.
Recomendación
Oracle ha publicado
una actualización que soluciona dicho problema de seguridad. Puede ser
descargada desde su plataforma. Para obtener la actualización es necesaria una
cuenta con la que autenticarse.
Más información
- Oracle Security Alert Advisory - CVE-2017-10151 http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151-4016513.html
- Text Form of Oracle 201710151 is not a CPU or Alert ID value Risk Matrices http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151-verbose-4016514.html#FMW