Oracleの「Identity Manager」に重大な脆弱性、緊急パッチ公開 すぐに適用を

危険度はCVSSのベーススコアで最も高い10.0。悪用されれば認証なしのネットワーク攻撃を通じてIdentity Managerを完全に制御される恐れがある。

» 2017年10月31日 08時50分 公開
[鈴木聖子ITmedia]

 米Oracleは10月27日、「Identity Manager」に見つかった極めて深刻な脆弱性に対処するアップデートを緊急公開した。ユーザーに対し、すぐに適用するよう強く勧告している。

 Oracleのセキュリティ情報によると、この脆弱性を悪用されれば認証なしのネットワーク攻撃を通じてIdentity Managerを完全に制御される恐れがある。危険度は共通脆弱性評価システム(CVSS)のベーススコアで最も高い10.0に分類している。

photo 米Oracleは「Identity Manager」のアップデートを緊急公開した

 米セキュリティ機関のSANS Internet Storm Centerは今回の問題について、デフォルトアカウントを利用してHTTP経由でログインされ、システムを制御される恐れがあると解説。デフォルトの認証情報を知られてしまえば、悪用は極めて簡単なはずだと指摘している。

 影響が確認されているのはIdentity Managerの11.1.1.7〜12.2.1.3.0の各バージョン。Fusion Middlewareを対象にアップデートが公開されている。

Copyright © ITmedia, Inc. All Rights Reserved.