[Warning] Kritische Sicherheitslücke in Oracle Access Manager - Updates verfügbar

Robert Waldner waldner at cert.at
Thu May 3 12:51:22 CEST 2018 

3. Mai 2018

Beschreibung

   Das IT-Security Consulting Unternehmen SEC-Consult hat eine kritische
   Sicherheitslücke in der verbreiteten Software Oracle Access Manager
   (OAM) entdeckt, die in vielen Umgebungen für Single-Sign-On und
   andere Login-Szenarios verwendet wird.

   CVE-Nummer: CVE-2018-2879

Auswirkungen

   Angreifer können sich durch Ausnutzen der Lücke mit beliebigen
   Accounts (auch administrativen) in allen durch OAM gemanagten
   Applikationen einloggen, somit sind alle Daten in diesen
   Applikationen gefährdet.

   Da ein Ausnutzen der Lücke zwar Kenntnisse in Kryptographie
   voraussetzt, aber dann relativ trivial umzusetzen ist, ist davon
   auszugehen, dass spätestens nach Veröffentlichung eines
   Proof-of-Concepts Angreifer grossflächig nach entsprechend
   verwundbaren Systemen suchen werden.

Betroffene Systeme

   Alle Systeme, auf denen Oracle Access Manager in den Versionen 11g
   (11.1.2.3.0) und 12c (12.2.1.3.0) zum Login-Management verwendet
   wird, und die aus dem Internet erreichbar sind - dies wird auf viele
   Installationen zutreffen.

Abhilfe

   SEC-Consult hat die Veröffentlichung des Advisories mit Oracle
   koordiniert, so dass Oracle via "Oracle Critical Patch Update (CPU)
   April 2018" bereits entsprechende Updates zur Verfügung stellen
   konnte - diese sollten sobald wie möglich installiert werden.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   SEC-Consult Security Advisory (englisch)

https://www.sec-consult.com/en/blog/advisories/authentication-bypass-in-oracle-access-manager/
   Oracle Critical Patch Update April 2018 (englisch)

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20180503/06e8f387/attachment-0001.sig>

More information about the Warning mailing list