Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
You must be registered for see images attach
В Oracle Access Manager (OAM) обнаружена уязвимость (CVE-2018-2879), позволяющая осуществить атаку padding oracle. С ее помощью злоумышленник может обойти механизм аутентификации и выдать себя за владельца любой учетной записи пользователя. Уязвимость связана с используемым OAM криптографическим форматом и затрагивает версии OAM 11g и 12c.
OAM является компонентом платформы Oracle Fusion Middleware, обеспечивающим аутентификацию в web-приложениях различных видов. Как правило, web-сервер, предоставляющий доступ к приложению, оснащен компонентом для аутентификации пользователей (Oracle WebGate). Пользователь, запрашивающий защищенный ресурс с web-сервера, перенаправляется для аутентификации на OAM. Затем OAM проводит аутентификацию пользователя (по паролю и имени) и перенаправляет его обратно к web-приложению. Поскольку аутентификация осуществляется централизованно, для того чтобы получить доступ к любому приложению, защищенному OAM, пользователю достаточно пройти аутентификацию только один раз.
Каксообщаютисследователи компании SEC Consult, в OAM есть уязвимость, позволяющая шифровать и расшифровывать данные, передаваемые между OAM и web-серверами. С ее помощью исследователям удалось создать действительный токен сеанса, зашифровать его, отправить на web-сервер и получить доступ к защищенным ресурсам в качестве пользователя, уже прошедшего аутентификацию с помощью OAM.
Администраторам OAM настоятельно рекомендуется установить обновление, исправляющее данную уязвимость. Атака с использованием уязвимости продемонстрирована в видео ниже.