Deutsch | English

Kritische Sicherheitslücke in Oracle Access Manager - Updates verfügbar

3. Mai 2018

Beschreibung

Das IT-Security Consulting Unternehmen SEC-Consult hat eine kritische Sicherheitslücke in der verbreiteten Software Oracle Access Manager (OAM) entdeckt, die in vielen Umgebungen für Single-Sign-On und andere Login-Szenarios verwendet wird.

CVE-Nummer: CVE-2018-2879

Auswirkungen

Angreifer können sich durch Ausnutzen der Lücke mit beliebigen Accounts (auch administrativen) in allen durch OAM gemanagten Applikationen einloggen, somit sind alle Daten in diesen Applikationen gefährdet.

Da ein Ausnutzen der Lücke zwar Kenntnisse in Kryptographie voraussetzt, aber dann relativ trivial umzusetzen ist, ist davon auszugehen, dass spätestens nach Veröffentlichung eines Proof-of-Concepts Angreifer grossflächig nach entsprechend verwundbaren Systemen suchen werden.

Betroffene Systeme

Alle Systeme, auf denen Oracle Access Manager in den Versionen 11g (11.1.2.3.0) und 12c (12.2.1.3.0) zum Login-Management verwendet wird, und die aus dem Internet erreichbar sind - dies wird auf viele Installationen zutreffen.

Abhilfe

SEC-Consult hat die Veröffentlichung des Advisories mit Oracle koordiniert, so dass Oracle via "Oracle Critical Patch Update (CPU) April 2018" bereits entsprechende Updates zur Verfügung stellen konnte - diese sollten sobald wie möglich installiert werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

SEC-Consult Security Advisory (englisch)
https://www.sec-consult.com/en/blog/advisories/authentication-bypass-in-oracle-access-manager/
Oracle Critical Patch Update April 2018 (englisch)
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücken (teils kritisch) in Juniper ATP, Junos OS und Space OS Software - Patches verfügbar
11. Jänner 2019 | Beschreibung Der ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
4. Jänner 2019 | Beschreibung Adobe ...
mehr ...
Russland und Artikel in diepresse.com
14. Februar 2019 | Wir ...
DNS Flag Day am 01.02.2019
22. Jänner 2019 | Am ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2018/5/3 - 12:46:37
Haftungsausschluss / Datenschutzerklärung