Alerta de segurança: falha no Oracle Identity Manager

A vulnerabilidade mereceu um aviso do Centro Nacional de Cibersegurança e pode comprometer o sistema de gestão de identidades por completo, aproveitando-se a existência de contas definidas por omissão, que prescindem de autenticação.

O Centro Nacional de Cibersegurança lançou um alerta para a situação de vulnerabilidade em que se encontram implantações de Oracle Identity Manager sem actualização. O aviso emitido esta terça-feira merece enquadra-se na actividade regular da entidade nacional.

A falha de segurança identificada permite a um hacker comprometer o funcionamento normal do sistema de gestão de identidades, num ataque realizado através da rede. Tem origem, segundo o centro, no uso de uma conta definida por omissão a se pode aceder prescindindo de autenticação, via HTTP. Basta estar presente na mesma rede, mas a intrusão pode efectuar-se à distância.

O meio de resolução recomendado pela entidade é a actualização dos sistemas. “As versões que não se encontram ao abrigo do Premier Support ou Extended Support, apesar de não terem sido testadas pela Oracle, devem encontrar-se vulneráveis”, avisa o CNCS.

Adicionalmente e para um melhor enquadramento do problema, a nota da entidade, sugere a consulta de um documento disponibilizado pela Oracle.

Versões do sistema afectadas: 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0




Deixe um comentário

O seu email não será publicado