Pour gérer vos consentements :

Oracle Identity Manager compromis par une vulnérabilité critique

Publié par Christophe Lagane le | Mis à jour le

Classée au plus haut niveau de dangerosité, la vulnérabilité permet de prendre le contrôle de Oracle Fusion Middleware sans nécessiter d'authentification.

Une vulnérabilité critique affecte les composants du module de gestion d'identité Oracle Identity Manager (OIM) rattachée à la plateforme cloud Fusion Middleware de l'éditeur.

La menace est à prendre vraiment au sérieux. L'éditeur lui attribue la valeur 10.0, soit la plus haute note sur son échelle de dangerosité.

La faille permet en effet à un attaquant de prendre le contrôle complet à distance des systèmes affectés depuis un réseau non authentifié. Autrement dit, la brèche peut être exploitée sans nécessiter d'identifiant utilisateur.

Référencée CVE-2017-10151, la vulnérabilité a été signalée le 27 octobre.

Dans une mise à jour de son alerte, Oracle propose maintenant un correctifs pour les versions 11.1.1.7, 11.1.2.3, 12.2.1.3 de OIM.

Cette solution de gestion d'identité permet l'attribution automatique des privilèges d'accès au réseau de l'entreprise.

Les versions antérieures probablement affectées

La firme de Redwood Shores ne détaille pas le problème mais, au regard de la sévérité de la menace, elle « recommande vivement aux clients d'appliquer sans délai les mises à jour fournies [dans son] alerte de sécurité ».

Et précise qu'elle n'a pas vérifié si les versions d'OIM qui ne bénéficient plus des supports Premier ou Extended sont affectées, ou non, par la vulnérabilité.

« Cependant, il est probable que les versions antérieures des versions affectées soient également touchées par ces vulnérabilités », considère l'éditeur qui « recommande donc aux clients de passer aux versions prises en charge.  »

Ce nouveau correctif d'urgence intervient deux semaines après la publication du Critical Patch Update d'octobre.

Le bulletin trimestriel de sécurité d'Oracle, qui corrigeait quelques 252 vulnérabilités dont une quarantaine affectant Fusion Middleware. 26 d'entre elles permettent une exploitation à distance sans authentification.

Lire également
Sécurité : plus de 300 vulnérabilités à combler chez Oracle
Oracle pousse le machine learning à travers Database 18c
M8 : Oracle lance la huitième génération de processeurs Sparc

crédit photo : Shutterstock.com

La rédaction vous recommande