События

Уязвимость в Oracle Access Manager позволяет обойти аутентификацию

Уязвимость в Oracle Access Manager позволяет обойти аутентификацию

В Oracle Access Manager (OAM) обнаружена уязвимость (CVE-2018-2879), позволяющая осуществить атаку padding oracle. С ее помощью злоумышленник может обойти механизм аутентификации и выдать себя за владельца любой учетной записи пользователя. Уязвимость связана с используемым OAM криптографическим форматом и затрагивает версии OAM 11g и 12c.

OAM является компонентом платформы Oracle Fusion Middleware, обеспечивающим аутентификацию в web-приложениях различных видов. Как правило, web-сервер, предоставляющий доступ к приложению, оснащен компонентом для аутентификации пользователей (Oracle WebGate). Пользователь, запрашивающий защищенный ресурс с web-сервера, перенаправляется для аутентификации на OAM. Затем OAM проводит аутентификацию пользователя (по паролю и имени) и перенаправляет его обратно к web-приложению. Поскольку аутентификация осуществляется централизованно, для того чтобы получить доступ к любому приложению, защищенному OAM, пользователю достаточно пройти аутентификацию только один раз.

Как сообщают исследователи компании SEC Consult, в OAM есть уязвимость, позволяющая шифровать и расшифровывать данные, передаваемые между OAM и web-серверами. С ее помощью исследователям удалось создать действительный токен сеанса, зашифровать его, отправить на web-сервер и получить доступ к защищенным ресурсам в качестве пользователя, уже прошедшего аутентификацию с помощью OAM.

Администраторам OAM настоятельно рекомендуется установить обновление, исправляющее данную уязвимость. Атака с использованием уязвимости продемонстрирована в видео ниже.

Источник

Автор: Сергей Куприянов
4.05.2018 (10:11)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.