Une vulnérabilité critique affecte les composants du module de gestion d’identité Oracle Identity Manager (OIM) rattachée à la plateforme cloud Fusion Middleware de l’éditeur.
La menace est à prendre vraiment au sérieux. L’éditeur lui attribue la valeur 10.0, soit la plus haute note sur son échelle de dangerosité.
La faille permet en effet à un attaquant de prendre le contrôle complet à distance des systèmes affectés depuis un réseau non authentifié. Autrement dit, la brèche peut être exploitée sans nécessiter d’identifiant utilisateur.
Référencée CVE-2017-10151, la vulnérabilité a été signalée le 27 octobre.
Dans une mise à jour de son alerte, Oracle propose maintenant un correctifs pour les versions 11.1.1.7, 11.1.2.3, 12.2.1.3 de OIM.
Cette solution de gestion d’identité permet l’attribution automatique des privilèges d’accès au réseau de l’entreprise.
La firme de Redwood Shores ne détaille pas le problème mais, au regard de la sévérité de la menace, elle « recommande vivement aux clients d’appliquer sans délai les mises à jour fournies [dans son] alerte de sécurité ».
Et précise qu’elle n’a pas vérifié si les versions d’OIM qui ne bénéficient plus des supports Premier ou Extended sont affectées, ou non, par la vulnérabilité.
« Cependant, il est probable que les versions antérieures des versions affectées soient également touchées par ces vulnérabilités », considère l’éditeur qui « recommande donc aux clients de passer aux versions prises en charge. »
Ce nouveau correctif d’urgence intervient deux semaines après la publication du Critical Patch Update d’octobre.
Le bulletin trimestriel de sécurité d’Oracle, qui corrigeait quelques 252 vulnérabilités dont une quarantaine affectant Fusion Middleware. 26 d’entre elles permettent une exploitation à distance sans authentification.
Lire également
Sécurité : plus de 300 vulnérabilités à combler chez Oracle
Oracle pousse le machine learning à travers Database 18c
M8 : Oracle lance la huitième génération de processeurs Sparc
Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…
Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…
Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…
Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…
Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…
D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).