Kritische Sicherheitslücke in Oracle Access Manager - Updates verfügbar

3. Mai 2018

Beschreibung

Das IT-Security Consulting Unternehmen SEC-Consult hat eine kritische Sicherheitslücke in der verbreiteten Software Oracle Access Manager (OAM) entdeckt, die in vielen Umgebungen für Single-Sign-On und andere Login-Szenarios verwendet wird.

CVE-Nummer: CVE-2018-2879

Auswirkungen

Angreifer können sich durch Ausnutzen der Lücke mit beliebigen Accounts (auch administrativen) in allen durch OAM gemanagten Applikationen einloggen, somit sind alle Daten in diesen Applikationen gefährdet.

Da ein Ausnutzen der Lücke zwar Kenntnisse in Kryptographie voraussetzt, aber dann relativ trivial umzusetzen ist, ist davon auszugehen, dass spätestens nach Veröffentlichung eines Proof-of-Concepts Angreifer grossflächig nach entsprechend verwundbaren Systemen suchen werden.

Betroffene Systeme

Alle Systeme, auf denen Oracle Access Manager in den Versionen 11g (11.1.2.3.0) und 12c (12.2.1.3.0) zum Login-Management verwendet wird, und die aus dem Internet erreichbar sind - dies wird auf viele Installationen zutreffen.

Abhilfe

SEC-Consult hat die Veröffentlichung des Advisories mit Oracle koordiniert, so dass Oracle via "Oracle Critical Patch Update (CPU) April 2018" bereits entsprechende Updates zur Verfügung stellen konnte - diese sollten sobald wie möglich installiert werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

---

Informationsquelle(n):

SEC-Consult Security Advisory (englisch)
https://www.sec-consult.com/en/blog/advisories/authentication-bypass-in-oracle-access-manager/
Oracle Critical Patch Update April 2018 (englisch)
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html