[Warning] Kritische Sicherheitslücke in Oracle Access Manager - Updates verfügbar
Robert Waldner
waldner at cert.at
Thu May 3 12:51:22 CEST 2018
3. Mai 2018
Beschreibung
Das IT-Security Consulting Unternehmen SEC-Consult hat eine kritische
Sicherheitslücke in der verbreiteten Software Oracle Access Manager
(OAM) entdeckt, die in vielen Umgebungen für Single-Sign-On und
andere Login-Szenarios verwendet wird.
CVE-Nummer: CVE-2018-2879
Auswirkungen
Angreifer können sich durch Ausnutzen der Lücke mit beliebigen
Accounts (auch administrativen) in allen durch OAM gemanagten
Applikationen einloggen, somit sind alle Daten in diesen
Applikationen gefährdet.
Da ein Ausnutzen der Lücke zwar Kenntnisse in Kryptographie
voraussetzt, aber dann relativ trivial umzusetzen ist, ist davon
auszugehen, dass spätestens nach Veröffentlichung eines
Proof-of-Concepts Angreifer grossflächig nach entsprechend
verwundbaren Systemen suchen werden.
Betroffene Systeme
Alle Systeme, auf denen Oracle Access Manager in den Versionen 11g
(11.1.2.3.0) und 12c (12.2.1.3.0) zum Login-Management verwendet
wird, und die aus dem Internet erreichbar sind - dies wird auf viele
Installationen zutreffen.
Abhilfe
SEC-Consult hat die Veröffentlichung des Advisories mit Oracle
koordiniert, so dass Oracle via "Oracle Critical Patch Update (CPU)
April 2018" bereits entsprechende Updates zur Verfügung stellen
konnte - diese sollten sobald wie möglich installiert werden.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
SEC-Consult Security Advisory (englisch)
https://www.sec-consult.com/en/blog/advisories/authentication-bypass-in-oracle-access-manager/
Oracle Critical Patch Update April 2018 (englisch)
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20180503/06e8f387/attachment-0001.sig>
More information about the Warning
mailing list