2min

Oracle heeft van zijn Critical Patch Update (CPU) schema afgeweken om een zeer ernstige kwetsbaarheid op te lossen. Door een bug was het namelijk mogelijk om van afstand toegang te krijgen tot enterprise software zonder dat er authenticatie vereist is. Deze kwetsbaarheid kreeg een score van 10, het hoogste mogelijke niveau.

CVE-2017-10151, zoals de kwetsbaarheid genoemd wordt, kon volgens het bedrijf resulteren in het compleet comprimeren van Oracle Identity Manager via een niet-geauthenticeerde netwerkaanval. Het houdt in dat aanvallers van afstand de software kunnen overnemen zonder dat accountgegevens ingevoerd hoeven te worden. Verbinding met kwetsbare software kan gemaakt worden met HTTP.

De Oracle Identity Manager is een onderdeel van Oracle Identity Management, waarmee de identiteiten van gebruikers beheerd en gevalideerd worden zodat zij toegang kunnen krijgen tot zakelijke systemen. De bug had betrekking op de versies 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 en 12.2.1.3.0 van Oracle Identity Manager.

Ernst

Volgens het Amerikaanse National Institute of Standards and Technology (NIST) gaat het om een kwetsbaarheid die makkelijk te misbruiken is. Oracle adviseert IT-beheerders dan ook om de patch per direct door te voeren en plaatst tevens een kanttekening. Producten die niet onder Product Premier Support of Extended Support vallen zijn namelijk niet getest op de aanwezigheid van kwetsbaarheden. De NIST geeft aan dat de aanvallen van grote invloed kunnen zijn op andere producten.

Dat Oracle direct met een oplossing voor CVE-2017-10151 komt, toont in ieder geval de ernst van de kwetsbaarheid aan. Het bedrijf komt eens per kwartaal met een CPU, de laatste keer nog vorige maand. Toen repareerde Oracle kwetsbaarheden in onder meer Oracle Fusion Middleware, Oracle Hospitality, Oracle MySQL en PeopleSoft. Naar verwachting komt de volgende CPU uit op 16 januari 2018.