info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

آسیب‌پذیری در مدیریت دسترسی اوراکل

خلاصه: محققان یک آسیب‌پذیری امنیتی در Oracle Access Manager کشف کرده‌اند که می‌تواند توسط مهاجم راه دور برای کنار زدن احراز اصالت و دردست گرفتن حساب هر کاربری مورد بهره‌برداری قرار گیرد. این آسیب‌پذیری با شناسه‌ی CVE-2018-2879 ردیابی شده و به فرمت نامناسب رمزنگاری استفاده شده توسط Oracle Access Manager مرتبط است. توصیه می‌شود که به‌روزرسانی‌های لازم را اعمال کنید.

محققان یک آسیب‌پذیری امنیتی در Oracle Access Manager کشف کرده‌اند که می‌تواند توسط مهاجم راه دور برای کنار زدن احراز اصالت و دردست گرفتن حساب هر کاربری مورد بهره‌برداری قرار گیرد. این آسیب‌پذیری با شناسه‌ی CVE-2018-2879 ردیابی شده و به فرمت نامناسب رمزنگاری استفاده شده توسط Oracle Access Manager مرتبط است.

Oracle Access Manager قابلیت‌های ویژه‌ای را برای فعال کردن دسترسی امن به اپلیکیشن‌های موبایلی و ابر خارجی فراهم می‌کند.

محققان توضیح داده‌اند که یک مهاجم می‌تواند از این آسیب‌پذیری در روشی که OAM به پیام‌های رمزشده رسیدگی می‌کند بهره‌برداری کرده و نرم‌افزار را برای افشای تصادفی اطلاعاتی که می‌تواند برای جعل هویت کاربران به‌کاررود، فریب دهد.

مهاجم می‌تواند حمله‌ای را برای افشای کوکی احراز مجوز یک حساب، راه‌اندازی کند. اون می‌تواند اسکریپتی را برای تولید کلید‌های ورود معتبر برای هر کاربرا دلخواه از جمله مدیر، ایجاد کند.

محققان ویدیویی را برای اثبات مفهوم این آسیب‌پذیری منتشر کرده‌اند. ای ویدیو نشان می‌دهد که مهاجم می‌تواند کاربران را با به‌کارگیری این آسیب‌پذیری، جعل هویت کند.

 نسخه‌های ۱۱g و ۱۲c مدیریت دسترسی اوراکل، هردو تحت تاثیر این آسیب‌پذیری قرار دارند. متخصصان در نوامبر ۲۰۱۷ این آسیب پذیری را به اوراکل گزارش کردند و این کمپانی در آخرین  به‌روزرسانی بحرانی در آوریل ۲۰۱۸ آن را وصله کرد.

توصیه می‌شد که به‌روزرسانی‌های لازم را اعمال کنید.

 

تحت نظارت وف ایرانی