危険度はCVSSのベーススコアで最も高い10.0。悪用されれば認証なしのネットワーク攻撃を通じてIdentity Managerを完全に制御される恐れがある。
米Oracleは10月27日、「Identity Manager」に見つかった極めて深刻な脆弱性に対処するアップデートを緊急公開した。ユーザーに対し、すぐに適用するよう強く勧告している。
Oracleのセキュリティ情報によると、この脆弱性を悪用されれば認証なしのネットワーク攻撃を通じてIdentity Managerを完全に制御される恐れがある。危険度は共通脆弱性評価システム(CVSS)のベーススコアで最も高い10.0に分類している。
米セキュリティ機関のSANS Internet Storm Centerは今回の問題について、デフォルトアカウントを利用してHTTP経由でログインされ、システムを制御される恐れがあると解説。デフォルトの認証情報を知られてしまえば、悪用は極めて簡単なはずだと指摘している。
影響が確認されているのはIdentity Managerの11.1.1.7〜12.2.1.3.0の各バージョン。Fusion Middlewareを対象にアップデートが公開されている。
Copyright © ITmedia, Inc. All Rights Reserved.