Parche de emergencia contra una vulnerabilidad crítica en Oracle Identity Manager

Oracle ha roto su ciclo trimestral habitual de actualización de parches críticos para liberar una solución de emergencia frente a una vulnerabilidad que permite a los atacantes acceder al software empresarial de forma remota sin autenticación.

La compañía ha instado a los administradores de TI a que apliquen el parche “sin demora” debido a la gravedad del problema.

La vulnerabilidad CVE-2017-10151 puede comprometer por completo Oracle Identity Manager a través de un ataque de red no autenticado, por lo que no se requieren credenciales de cuenta de usuario válidas. El error cuenta con una puntuación CVSS de 10, el más alto en cuanto a severidad.

Las conexiones al software vulnerable pueden hacerse a través de HTTP y el error afecta a las versiones Oracle Identity Manager 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 y 12.2.1.3.0.

Oracle Identity Manager es un componente que se encuentra en Oracle Identity Management, que gestiona y valida las identidades de los usuarios y el acceso a los sistemas empresariales.

“Si bien la vulnerabilidad está en Oracle Identity Manager, los ataques pueden tener un impacto significativo en los productos adicionales”, según el National Vulnerability Database (NIST) de EEUU.

Oracle ha parcheado un total de 252 vulnerabilidades en su última actualización trimestral. La próxima actualización de parches de la empresa, fuera de las reparaciones de emergencia, está prevista para el 16 de enero de 2018.