Pour gérer vos consentements :

Oracle Identity Manager compromis par une vulnérabilité critique

Une vulnérabilité critique affecte les composants du module de gestion d’identité Oracle Identity Manager (OIM) rattachée à la plateforme cloud Fusion Middleware de l’éditeur.

La menace est à prendre vraiment au sérieux. L’éditeur lui attribue la valeur 10.0, soit la plus haute note sur son échelle de dangerosité.

La faille permet en effet à un attaquant de prendre le contrôle complet à distance des systèmes affectés depuis un réseau non authentifié. Autrement dit, la brèche peut être exploitée sans nécessiter d’identifiant utilisateur.

Référencée CVE-2017-10151, la vulnérabilité a été signalée le 27 octobre.

Dans une mise à jour de son alerte, Oracle propose maintenant un correctifs pour les versions 11.1.1.7, 11.1.2.3, 12.2.1.3 de OIM.

Cette solution de gestion d’identité permet l’attribution automatique des privilèges d’accès au réseau de l’entreprise.

Les versions antérieures probablement affectées

La firme de Redwood Shores ne détaille pas le problème mais, au regard de la sévérité de la menace, elle « recommande vivement aux clients d’appliquer sans délai les mises à jour fournies [dans son] alerte de sécurité ».

Et précise qu’elle n’a pas vérifié si les versions d’OIM qui ne bénéficient plus des supports Premier ou Extended sont affectées, ou non, par la vulnérabilité.

« Cependant, il est probable que les versions antérieures des versions affectées soient également touchées par ces vulnérabilités », considère l’éditeur qui « recommande donc aux clients de passer aux versions prises en charge.  »

Ce nouveau correctif d’urgence intervient deux semaines après la publication du Critical Patch Update d’octobre.

Le bulletin trimestriel de sécurité d’Oracle, qui corrigeait quelques 252 vulnérabilités dont une quarantaine affectant Fusion Middleware. 26 d’entre elles permettent une exploitation à distance sans authentification.


Lire également
Sécurité : plus de 300 vulnérabilités à combler chez Oracle
Oracle pousse le machine learning à travers Database 18c
M8 : Oracle lance la huitième génération de processeurs Sparc

crédit photo : Shutterstock.com

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

2 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

2 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

6 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

9 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

11 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago