Soron kívül javított egy kritikus hibát az Oracle

​Az Oracle az Identity Manager üzemeltetőit arra kérte, hogy mihamarabb frissítsék a rendszereket egy súlyos biztonsági hiba miatt.
 

Az Oracle negyedévente adja ki a biztonsági hibajavításait. Legutóbb éppen októberben került sor egy jelentős foltozásra, amikor nem kevesebb mint 252 biztonsági hibától szabadította meg a különféle szoftvereit. A nagymennyiségű hibajavítás ellenére sem sikerült minden sebezhetőséget időben befoltozni, ezért egy újabb, soron kívüli frissítésre kényszerült a vállalat.
 
Az Oracle-nek jó oka volt arra, hogy ne várja meg a következő, menetrend szerint 2018. január 16-án érkező frissítéseket. A legutóbb feltárt sérülékenység ugyanis a CVSSv3 veszélyességi skálán a maximális, 10-es besorolást kapta. A kritikus sérülékenység az Identity Managert érinti.
 
A biztonsági hiba részleteit egyelőre nem hozta nyilvánosságra a vállalat. Ennek pedig minden bizonnyal az az oka, hogy időt akar adni az üzemeltetők számára ahhoz, hogy befoltozhassák a biztonsági rést. Az Oracle ugyanakkor közölte, hogy a sérülékenység távolról is kihasználhatóvá válhat, és jogosulatlan távoli hozzáférésre adhat lehetőséget akár hitelesítési adatok ismerete nélkül is.
 
A sebezhetőség leírásánál az olvasható, hogy a hiba az úgynevezett "default account" kategóriába tartozik. Az ilyen típusú sérülékenységek általában jelszó nélküli vagy beégetett jelszóval rendelkező fiókokkal kapcsolatosak. Mivel az Oracle Identity Manager sok szervezet informatikai infrastruktúrájában kritikus fontosságú szerepet tölt be, és része a Fusion Middleware-nek is, ezért a feltárt hiba javítása fokozott figyelmet igényel.
 
Az Oracle szerint a sérülékenység a 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 és a 12.2.1.3.0 verziókat érinti. A hibajavítás az Oracle ügyfelei számára már elérhető.