Oracle Identity Manager vulnérabilité critique

Avis version: 1.0
Référence: CVE-2017-10151
CVSS v3: 10.0
Software impacté: Oracle Identity Manager
Type: vulnérabilité authentification HTTP

Sources

http://www.oracle.com/technetwork/security-advisory/alert-cve-2017-10151...
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-10151

Risques

Après avoir réussi à attaquer l’Oracle Identity Manager, le pirate peut prendre le contrôle de l’ensemble du système.

Samenvatting

Une simple vulnérabilité exploitable permet à un pirate non authentifié de compromettre l’Oracle Identity Manager. Pour ce faire, le pirate doit simplement établir une connexion HTTP non authentifiée avec le système. La vulnérabilité survient dans l’Oracle Identity Manager, mais cette attaque peut avoir un impact sur d’autres logiciels ainsi que sur le système sous-jacent. Une attaque réussie peut entraîner une prise de contrôle totale de l’Oracle Identity Manager.

Versions impactées

Oracle Identity Manager, versions 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0

Actions préconisées

En raison de l’importance de cette vulnérabilité, Oracle recommande vivement d’installer le plus rapidement possible les mises à jour mentionnées dans leur Security Advisory (cf. sources).