Уязвимость в OIM (CVE-2017-10151)

Оракл опубликовал информацию о наличии уязвимости в OIM. На данный момент на саппорте есть и патч (27037128), и воркэраунд (Doc ID 2322316.1) для её устранения. Уязвимость критическая, поэтому вендор не стал раскрывать подробности её эксплуатации. Но имеющейся информации хватило, чтобы социальные сети наполнились слухами и насмешками, типа таких:

Так как на основе этой информации может сложиться неправильное понимание, я хочу немного разъяснить ситуацию.

На текущий момент известно, что уязвимостью является наличие учетной записи, созданной по умолчанию. Речь про OIMINTERNAL. У данной учетной записи установлен пароль «один пробел». В документации Оракла также написано, что пароль менять нельзя. Несмотря на это, Оралк выпустил патч и воркэраунд, которые выполняют смену пароля для OIMINTERNAL в автоматическом или ручном режиме. И тут возникает противоречие. Как так, в документации пишут, что пароль менять нельзя, а в воркэраунде описывают как его сменить? На самом деле все просто, существует несколько хранилищ учетных записей: БД OIM и встроенный LDAP-каталог Веблоджика. Аутентификация в OIM выполняется по учеткам из БД OIM и там как раз нельзя менять пароль для OIMINTERNAL. А во встроенном LDAP-каталоге Веблоджика смена пароля у OIMINTERNAL не запрещается и теперь еще и требуется. Как раз эта процедура и описана в воркэраунде.

Интернет наполнился насмешками, что можно использовать OIMINTERNAL и пробел в качестве пароля, чтобы залогиниться в любой OIM. Но это не так. Аутентифицироваться под OIMINTERNAL в пользовательских консолях как OIM'а, так и Веблоджика нельзя. Как эксплуатировать эту уязвимость – не очевидно. Но очевидно, что её обязательно надо устранить. Для устранения уязвимости достаточно пары минут и нескольких простых действий:

  1. Войти в консоль администрирования Weblogic (например, http://hostname:7001/console) под администратором (weblogic)
  2. Перейти Domain -> Security Realms -> myrealm
  3. Выбрать вкладку "Users and Groups"
  4. Выбрать пользователя OIMINTERNAL и перейти на вкладку "Passwords"
  5. Сменить пароль на произвольный набор символов (записывать и запоминать их не требуется)

Оставить комментарий