image

Oracle waarschuwt voor zeer ernstig lek in Identity Manager

zaterdag 28 oktober 2017, 13:42 door Redactie, 8 reacties
Laatst bijgewerkt: 29-10-2017, 08:18

Oracle heeft een waarschuwing afgegeven voor een zeer ernstig beveiligingslek in de Oracle Identity Manager waardoor een aanvaller zonder inloggegevens via het netwerk het systeem volledig kan overnemen. Op een schaal van 1 tot en met 10 wat betreft de ernst van een kwetsbaarheid is dit beveiligingslek met de hoogst mogelijke score van 10 beoordeeld.

De Oracle Identity Manager is een identiteitsmanagementsysteem voor het beheren van toegangsrechten en privileges van gebruikersaccounts en onderdeel van Oracle Fusion Middleware. Via de kwetsbaarheid kan een aanvaller zonder inloggegevens het systeem over het netwerk compromitteren. Volgens Oracle is de aanval zeer eenvoudig uit te voeren en heeft die een grote impact. In de waarschuwing wordt verwezen naar een workaround voor het probleem. Een beveiligingsupdate wordt nog ontwikkeld. Zodra die beschikbaar is adviseert Oracle die meteen te installeren.

Reacties (8)
28-10-2017, 15:32 door Anoniem
Terug van weggeweest, Java ellende?

Oracle weet haar eigen security identity nog steeds niet goed te managen.
Tenzij ze de associatie van patent scores 10 in kwetsbaarheden wil blijven behouden.
Dit schreeuwt om een permissiemanager voor het identiteitsmanagementsysteem voor het beheren van toegangsrechten en privileges van gebruikersaccounts.

Maar misschien komt Oracle nog wel met een Java based manager voor het managen van de permissiemanager voor het identiteitsmanagementsysteem voor het beheren van toegangsrechten en privileges van gebruikersaccounts.

En omdat dat natuurlijk geheid tot een nieuwe hackscore van boven de 8 gaat leiden is het verstandig alvast bijelkaar te gaan zitten voor het creëren van de functie überpermissiemanager voor het beheer van de Java based Manager voor het managen van de permissiemanager voor het identiteitsmanagementsysteem voor het beheren van toegangsrechten en privileges van gebruikersaccounts.

Opdat Oracle dan ...

Ziedaar het geheime lucratieve verdienmodel van een deel van de ICT industrie, altijd werk aan de winkel en altijd ruimte voor nieuwe functies en dure software.
28-10-2017, 15:36 door Anoniem
Er is een workaround maar om die te mogen zien heb je een (betaalde) oracle login nodig.

Slim.
28-10-2017, 15:51 door karma4 - Bijgewerkt: 28-10-2017, 18:44
Zou netjes zijn om het product te plaatsen waar het gebruikt wordt.
[/url] http://www.oracle.com/technetwork/middleware/id-mgmt/overview/index.html[/url]
"Oracle Identity Management is a member of the Oracle Fusion Middleware family of products, which brings greater agility, better decision-making, and reduced cost and risk to diverse IT environments today.

In addition, we now offer an innovative, fully integrated service that delivers all the core identity and access management capabilities through a multi-tenant Cloud platform, Oracle Identity Cloud Service. To learn more, visit Oracle Identity Cloud Service"
Ok dat is een gangbaar iets waar ook veel andere tools van andere leveranciers ingezet worden. Met een beetje omvang heb je er meerdere van in huis.

https://selecthub.com/categories/identity-management (20 stuks) lijkt niet compleet te zijn, ik mis zo al
https://atos.net/en/products/cybersecurity/evidian-sso-identity-access-management#User-Access-Management-SSO ooit van Siemens https://www.evidian.com/products/iam-cloud-managed-services-dirx/u
28-10-2017, 20:52 door [Account Verwijderd]
[Verwijderd]
29-10-2017, 06:56 door karma4
Door Anoniem: Er is een workaround maar om die te mogen zien heb je een (betaalde) oracle login nodig.
Slim.
Bij open source projecten staat de bugzilla informatie ook niet voor jan en alleman open. Het is alleen voorbehouden aan een geselecteerde gecontroleerde groep. Slim.....
29-10-2017, 08:46 door Anoniem
Door karma4:
Door Anoniem: Er is een workaround maar om die te mogen zien heb je een (betaalde) oracle login nodig.
Slim.
Bij open source projecten staat de bugzilla informatie ook niet voor jan en alleman open. Het is alleen voorbehouden aan een geselecteerde gecontroleerde groep. Slim.....
Wat een rare vergelijking.

Over het algemeen zijn open source projecten juist enorm open, inclusief de tickets. Met als uitzondering sommige security-gerelateerde tickets, totdat de fixes er zijn en dan wordt ook dat openbaar. Als er werkbare workarounds zijn kun je zelfs gelijk publiceren want dan hoef je dus niet de informatie achter te houden totdat er iets aan gedaan kan worden.

Aankondigen dat er een groot lek in zit en dan zelfs niet de workaround publiek maken is gewoon compleet mesjokke, zeker voor een open source project. Maar ook voor commerciële software is geld vragen om fabrieksdefecten op te lossen maar een hele matige aanpak. Dus hoewel nog steeds niet openbaar is wat jij rookt, sterk is het wel.
29-10-2017, 11:19 door karma4
Door Anoniem: ]
Wat een rare vergelijking.

Over het algemeen zijn open source projecten juist enorm open, inclusief de tickets. Met als uitzondering sommige security-gerelateerde tickets, totdat de fixes er zijn en dan wordt ook dat openbaar. Als er werkbare workarounds zijn kun je zelfs gelijk publiceren want dan hoef je dus niet de informatie achter te houden totdat er iets aan gedaan kan worden.

Aankondigen dat er een groot lek in zit en dan zelfs niet de workaround publiek maken is gewoon compleet mesjokke, zeker voor een open source project. Maar ook voor commerciële software is geld vragen om fabrieksdefecten op te lossen maar een hele matige aanpak. Dus hoewel nog steeds niet openbaar is wat jij rookt, sterk is het wel.

Open source projecten die open zijn over wel gevonden maar nog niet opgeloste zaken, zijn die er dan?
Met RDCP gaat het er om de kwetsbaarheid niet publiek te maken voordat er oplossing is. Dat is een gangbare aanpak of wil je dat zelfs ontkennen. Ga eens na wat er met CVE's Linux gebeurt http://www.cvedetails.com/product/47/Linux-Linux-Kernel.html?vendor_id=33. Je noemt het security-fixes gaan niet openbaar ook niet Linux. Artikel Oracle is een security punt. In dit geval met Oracle heeft iedere afnemer vanzelf een Oracle account want dat zit in het contract.
Elke gebruiker waar het om gaat wordt zo op de hoogte gehouden. Waarom zouden degenen die het niets aan gaat ook op de hoogte moeten gaan houden, zelfs vooraf. Dan maak je het de kwaadwillende aanvaller wel heel makkelijk.

Denk nou niet er is een fix dat rollen we wel even tussendoor uit. Met Enterprises dient de BCM business continuïty geborgd te worden. Dat betekent dat je niet zo maar wat uitrolt. Waar je je wel zorgen over kan maken is het management met de aanpak dat externe leveranciers alles wel oplossen en dat zijn er geen verantwoordelijk meer voor hebben.
Nog een wezenlijke vraag hoeveel van deze Oracle software verwacht jij bij de thuisgebruikers?
30-10-2017, 13:47 door Anoniem
Door Anoniem: Er is een workaround maar om die te mogen zien heb je een (betaalde) oracle login nodig.

Slim.
Als je de software hebt aangeschaft en onder support hebt dan kun je ook bij de support informatie, daar is geen extra betaling voor nodig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.