Lanzan parche para falla crítica en Oracle Identity Manager
El software de administración de identidades de la compañía presenta una vulnerabilidad crítica, la cual permite a los cibercriminales acceder al programa Oracle Identity Manager de forma remota y sin autenticación. Para solucionar el fallo, la empresa lanzó un parche de emergencia.
La vulnerabilidad identificada como CVE-2017-10151 fue clasificada con la nota máxima de severidad, CVSS de 10. Por ello, desde Oracle emitieron una alerta donde solicitan a los administradores IT aplicar de inmediato el parche.
La vulnerabilidad impacta las siguientes versiones de Oracle Identity Manager 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 y 12.2.1.3.0.
El comunicado destacó también lo fácil y sencillo que resulta para los atacantes explotar el fallo: solo requieren contar con conexiones HTTP. Además, en caso de un ataque exitoso otros productos podrían verse afectados.
Recordemos que Oracle Identity Manager es un componente de la suite Oracle Identity Management, que gestiona y valida las identidades de los usuarios, y accesos a sistemas empresariales.
La política trimestral de parchado de Oracle fue modificada debido a la gravedad de la vulnerabilidad. La siguiente ronda de actualización está prevista para el próximo 16 de enero del 2018.
