| Название базовой системы (платформы): | Oracle Fusion Middleware |
| Разработчики: | Oracle |
| Технологии: | ИБ - Аутентификация |
2018
В Oracle Access Manager (OAM) обнаружена уязвимость (CVE-2018-2879), позволяющая осуществить атаку padding oracle. С ее помощью злоумышленник может обойти механизм аутентификации и выдать себя за владельца любой учетной записи пользователя. Уязвимость связана с используемым OAM криптографическим форматом и затрагивает версии OAM 11g и 12c.
OAM является компонентом платформы Oracle Fusion Middleware, обеспечивающим аутентификацию в web-приложениях различных видов. Как правило, web-сервер, предоставляющий доступ к приложению, оснащен компонентом для аутентификации пользователей (Oracle WebGate). Пользователь, запрашивающий защищенный ресурс с web-сервера, перенаправляется для аутентификации на OAM. Затем OAM проводит аутентификацию пользователя (по паролю и имени) и перенаправляет его обратно к web-приложению. Поскольку аутентификация осуществляется централизованно, для того чтобы получить доступ к любому приложению, защищенному OAM, пользователю достаточно пройти аутентификацию только один раз.
Как сообщают исследователи компании SEC Consult, в OAM есть уязвимость, позволяющая шифровать и расшифровывать данные, передаваемые между OAM и web-серверами. С ее помощью исследователям удалось создать действительный токен сеанса, зашифровать его, отправить на web-сервер и получить доступ к защищенным ресурсам в качестве пользователя, уже прошедшего аутентификацию с помощью OAM.
Администраторам OAM настоятельно рекомендуется установить обновление, исправляющее данную уязвимость. Атака с использованием уязвимости продемонстрирована в видео ниже.
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (56) Инфосистемы Джет (50) ДиалогНаука (37) Softline (Софтлайн) (36) Информзащита (34) Другие (858) Индид, Indeed (ранее Indeed ID) (8) Информзащита (2) Deiteriy (Дейтерий) (2) Softline (Софтлайн) (2) Национальный аттестационный центр (НАЦ) (2) Другие (33)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 57) СэйфТек (SafeTech) (6, 38) FalconGaze (Фалконгейз) (1, 38) Аладдин Р.Д. (Aladdin R.D.) (20, 27) Visa International (2, 26) Другие (473, 233) Индид, Indeed (ранее Indeed ID) (3, 8) СэйфТек (SafeTech) (1, 1) Avanpost (Аванпост) (1, 1) Солар (ранее Ростелеком-Солар) (1, 1) Другие (0, 0) Индид, Indeed (ранее Indeed ID) (2, 9) Shenzhen Chainway Information Technology (1, 6) СэйфТек (SafeTech) (1, 4) Аладдин Р.Д. (Aladdin R.D.) (4, 3) RooX Solutions (Рукс Солюшенс) (1, 1) Другие (2, 2) Индид, Indeed (ранее Indeed ID) (2, 3) Shenzhen Chainway Information Technology (1, 3) СэйфТек (SafeTech) (1, 3) Мобильные ТелеСистемы (МТС) (1, 2) Спейсбит (Spacebit) (1, 1) Другие (9, 9)Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45 FalconGaze SecureTower - 38 PayControl - 23 3-D Secure (3D-Secure) - 23 Avanpost IDM Access System - 20 Другие 276 Indeed Access Manager (Indeed AM) - 6 Indeed PAM - Indeed Privileged Access Manager - 2 Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2 Solar webProxy Шлюз веб-безопасности - 1 PayControl - 1 Другие 1 
