Categorias

Oracle publica atualização de segurança de emergência para gerenciador de identidades

A Oracle quebrou seu ciclo trimestral de correções para publicar uma atualização de segurança de emergência de seu gerenciador de identidades que deve ser aplicada o mais rápido possível por administradores de rede.

De acordo com o comunicado oficial, a vulnerabilidade crítica poderia levar ao “comprometimento completo do Oracle Identity Manager através de um ataque de rede não-autenticado”, permitindo que um invasor tome controle total da rede afetada.

A correção foi publicada através do boletim de segurança CVE-2017-10151 e a orientação da Oracle é que “os consumidores apliquem a atualização oferecida pelo Alerta de Segurança sem atrasos”. A avaliação de severidade da falha é nível 10, a mais elevada segundo a classificação oficial da CVSS, embora não haja até o momento registros que a vulnerabilidade tenha sido utilizada como vetor de ataques.

A falha de segurança corrigida pela Oracle afeta as seguintes versões do Oracle Identity Manager: 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 e 12.2.1.3.0. A empresa destaca que não foram realizados testes com versões que não estão mais cobertas pela política de suporte, mas é extremamente provável que a vulnerabilidade também esteja presente em versões anteriores do produto.

Recentemente, a Oracle corrigiu 252 falhas de segurança em diversos produtos, como parte de seu ciclo trimestral de atualizações. A menos que aconteçam outras situações de emergência, a empresa deverá lançar o próximo pacote de correções somente em Janeiro de 2018.