Une vulnérabilité critique affecte les composants du module de gestion d’identité Oracle Identity Manager (OIM) rattachée à la plateforme cloud Fusion Middleware de l’éditeur.
La menace est à prendre vraiment au sérieux. L’éditeur lui attribue la valeur 10.0, soit la plus haute note sur son échelle de dangerosité.
La faille permet en effet à un attaquant de prendre le contrôle complet à distance des systèmes affectés depuis un réseau non authentifié. Autrement dit, la brèche peut être exploitée sans nécessiter d’identifiant utilisateur.
Référencée CVE-2017-10151, la vulnérabilité a été signalée le 27 octobre.
Dans une mise à jour de son alerte, Oracle propose maintenant un correctifs pour les versions 11.1.1.7, 11.1.2.3, 12.2.1.3 de OIM.
Cette solution de gestion d’identité permet l’attribution automatique des privilèges d’accès au réseau de l’entreprise.
La firme de Redwood Shores ne détaille pas le problème mais, au regard de la sévérité de la menace, elle « recommande vivement aux clients d’appliquer sans délai les mises à jour fournies [dans son] alerte de sécurité ».
Et précise qu’elle n’a pas vérifié si les versions d’OIM qui ne bénéficient plus des supports Premier ou Extended sont affectées, ou non, par la vulnérabilité.
« Cependant, il est probable que les versions antérieures des versions affectées soient également touchées par ces vulnérabilités », considère l’éditeur qui « recommande donc aux clients de passer aux versions prises en charge. »
Ce nouveau correctif d’urgence intervient deux semaines après la publication du Critical Patch Update d’octobre.
Le bulletin trimestriel de sécurité d’Oracle, qui corrigeait quelques 252 vulnérabilités dont une quarantaine affectant Fusion Middleware. 26 d’entre elles permettent une exploitation à distance sans authentification.
Lire également
Sécurité : plus de 300 vulnérabilités à combler chez Oracle
Oracle pousse le machine learning à travers Database 18c
M8 : Oracle lance la huitième génération de processeurs Sparc
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…