+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

У Oracle Access Manager (OAM) виявлено вразливість (CVE-2018-2879), що дозволяє здійснити атаку padding oracle та обійти механізм аутентифікації

Уразливість у Oracle Access Manager дозволяє обійти аутентифікацію

За допомогою вразливості в OAM зловмисник може видати себе за будь-якого користувача.

У Oracle Access Manager (OAM) виявлено вразливість (CVE-2018-2879), що дозволяє здійснити атаку padding oracle. З її допомогою зловмисник може обійти механізм автентифікації та видати себе за власника будь-якого облікового запису користувача. Вразливість пов'язана з OPT криптографічним форматом і зачіпає версії OAM 11g і 12c.

OAM є компонентом платформи Oracle Fusion Middleware, що забезпечує автентифікацію у web-додатках різних видів. Як правило, web-сервер, що надає доступ до програми, оснащений компонентом для автентифікації користувачів (Oracle WebGate). Користувач, який запитує захищений ресурс з web-сервера, перенаправляється для автентифікації на OAM Потім OAM проводить автентифікацію користувача (за паролем та ім'ям) і перенаправляє його назад до web-додатку. Оскільки аутентифікація здійснюється централізовано, щоб отримати доступ до будь-якої програми, захищеної OAM, користувачеві достатньо пройти аутентифікацію лише один раз.

Як повідомляють дослідники, у OAM є вразливість, що дозволяє шифрувати та розшифровувати дані, що передаються між OAM та web-серверами. За її допомогою дослідникам вдалося створити дійсний токен сеансу, зашифрувати його, відправити на web-сервер і отримати доступ до захищених ресурсів як користувача, що вже пройшов аутентифікацію за допомогою OAM.

 

 

Інші новини

Найкраща ціна