ஆரக்கிள்
பெயரிடப்பட்ட இரண்டு பாதிப்புகள் சி.வி.இ-2018-2998 மற்றும் சி.வி.இ-2018-2933 ஆரக்கிள் வெப்லொஜிக் சேவையகத்தை சுரண்டும் பல்ஸ் செக்யூரிட்டியின் டெனிஸ் ஆண்ட்சகோவிக் கண்டுபிடித்தார் எஸ்.ஏ.எம்.எல் மற்றும் WLS கோர் கூறுகள் முறையே, தரவை ஒரு குறிப்பிட்ட அளவிற்கு அணுகவும் மாற்றவும்.
ஆரக்கிள் வெப்லொஜிக் எஸ்ஏஎம்எல் சேவை வழங்குநரின் அங்கீகார பொறிமுறையில் இரண்டு பாதிப்புகள் கண்டறியப்பட்டன. SAML இல் ஒரு எக்ஸ்எம்எல் கருத்தை செருகுவதன் மூலம்
NameIDகுறிச்சொல், தாக்குபவர் மற்றொரு பயனராக உள்நுழைய SAML சேவை வழங்குநரை கட்டாயப்படுத்த முடியும். கூடுதலாக, இயல்புநிலை உள்ளமைவில் கையொப்பமிடப்பட்ட SAML கூற்றுக்கள் வெப்லொஜிக்கிற்கு தேவையில்லை. ஒரு SAML கூற்றிலிருந்து கையொப்பம் பகுதிகளைத் தவிர்ப்பதன் மூலம், தாக்குபவர் தன்னிச்சையான SAML கூற்றை உருவாக்கி அங்கீகார பொறிமுறையைத் தவிர்க்கலாம்.
டெனிஸ் ஆண்ட்சகோவிக் - துடிப்பு பாதுகாப்பு
ஆரக்கிள் ஃப்யூஷன் மிடில்வேர் 12 சி வெப்லொஜிக் சேவையகம் v.12.2.1.3.0 இந்த பாதிப்புகளுக்கு பாதிக்கப்படக்கூடியது என கண்டறியப்பட்டது, இருப்பினும் மற்ற மூன்று பதிப்புகள்: 10.3.6.0, 12.1.3.0 மற்றும் 12.2.1.2 ஆகியவையும் பாதிக்கப்பட்டுள்ளன.
ஒரு இடர் மதிப்பீட்டு அணி ஆரக்கிள் வெளியிட்டது, சி.வி.இ-2018-2998 பாதிப்பு உள்நாட்டில் எஸ்.ஏ.எம்.எல் கூறுகளை சுரண்டுவதற்காக மதிப்பிடப்பட்டது. அதில் கூறியபடி சி.வி.எஸ்.எஸ் பதிப்பு 3.0 , இந்த பாதிப்புக்கு 10 இல் 5.4 என்ற அடிப்படை மதிப்பெண் வழங்கப்பட்டது, பொதுவாக கையாளுதலுக்கான குறைந்த ஆபத்து காரணி இருப்பதாக மதிப்பிடப்பட்டது. அதே மதிப்பீட்டில், உள்ளூர் சேவையக சாதனங்களிலிருந்து WLS கோர் கூறுகளை சுரண்டுவதற்கு CVE-2018-2933 பாதிப்பு மதிப்பிடப்பட்டது. பாதிப்புக்கு சாத்தியமான 10 இல் சற்றே குறைந்த அடிப்படை மதிப்பெண் 4.9 வழங்கப்பட்டது. ஐடி 2421480.1 ஐ கொண்ட ஒரு ஆவணம் ஆரக்கிள் அதன் பயனர்களுக்காக இந்த பாதிப்பைத் தணிப்பதற்கான வழிமுறைகளுடன் வெளியிடப்பட்டது. ஆரக்கிள் நிர்வாகி கணக்குகள் உள்நுழைந்தவுடன் இந்த ஆவணத்தை அணுகலாம்.
ஆரக்கிள் செக்யூரிட்டி அஸெர்ஷன்ஸ் மார்க்அப் லாங்வேஜ் (எஸ்ஏஎம்எல்) ஒரே நெட்வொர்க்கில் பல சாதனங்களில் அங்கீகார தகவல்களைப் பகிர உதவும் ஒரு கட்டமைப்பை விவரிக்கிறது, இது ஒரு சாதனம் மற்றொரு பகுதியின் செயல்பாட்டை அனுமதிக்கிறது. இது பயனர்களின் அங்கீகாரத்தையும் அங்கீகாரத்தையும் உறுதிப்படுத்துகிறது: அவை நற்சான்றிதழ்கள் முறையானவையா என்பதையும், கோரப்பட்ட செயல்களைச் செய்ய அவர்களுக்கு தேவையான அனுமதிகள் உள்ளதா என்பதையும். பெரும்பாலும், இந்த நெறிமுறை பயனர்களுக்கான ஒற்றை உள்நுழைவை அமைக்கப் பயன்படுகிறது மற்றும் SAML வழங்குநர்கள் இந்த நற்சான்றிதழ்களை வழங்கும் சேவையகம் அல்லது நிர்வாகி சாதனத்தை நிர்வகிக்கிறார்கள். அங்கீகரிக்கப்பட்டதும் அங்கீகரிக்கப்பட்டதும், எக்ஸ்எம்எல்லில் SAML வலியுறுத்தல் பயனர் பணியை முடிக்க அனுமதிக்கிறது. 2005 ஆம் ஆண்டு முதல் கணினிகளில் இந்த அங்கீகாரம் மற்றும் அங்கீகார செயல்முறைக்கான தரமாக SAML 2.0 அமைக்கப்பட்டுள்ளது, மேலும் அவை உருவாக்கும் பயன்பாடுகளில் ஆரக்கிள் வெப்லொஜிக் சேவையகங்களால் பயன்படுத்தப்படும் தரமாகும்.
வெப்லொஜிக் சேவையகத்தின் முக்கிய கூறுகளில் கண்டுபிடிக்கப்பட்ட பாதிப்புடன் கைகோர்த்து செயல்படுவது, வெப்லொஜிக்கிற்கு முன்னிருப்பாக கையொப்பமிடப்பட்ட கூற்றுக்கள் தேவையில்லை என்ற உண்மையைப் பயன்படுத்த இரண்டு பாதிப்புகள் கண்டறியப்பட்டன. பாதிப்புக்கள் அங்கீகாரம் மற்றும் அங்கீகார பொறிமுறையை பெயர் ஐடி குறிச்சொல்லில் செருகுவதன் மூலம் மற்றொரு பயனரின் கணக்கில் உள்நுழைய அனுமதிக்கும்படி கட்டாயப்படுத்தி, SAML வலியுறுத்தல் கையொப்பத்தை செல்லாததாக்குவதன் மூலம் சேவையகம் கருத்துரையைத் தொடர்ந்து சரத்தை சரிபார்க்கிறது. கீழே.
attackeradminநிர்வாகி சேவையக உள்ளமைவு அமைப்புகளில், என்றால் SingleSignOnServicesMBean.WantAssertionsSigned பண்புக்கூறு முடக்கப்பட்டுள்ளது அல்லது தேவையில்லை, இயல்புநிலை வழக்கு போலவே, கையொப்பம் சரிபார்க்கப்படவில்லை, மேலும் எந்தவொரு விருப்பமான பயனராகவும் உள்நுழைய யாரையாவது அனுமதிக்க அங்கீகாரத்தை புறக்கணிக்க முடியும். கணினி அமைப்புகளைத் தொந்தரவு செய்ய, தரவைப் பிரித்தெடுக்க அல்லது ஊழல் நிறைந்த சேவையகங்களுக்கு கணினியில் சக்திவாய்ந்த கணக்குகளை அணுக ஹேக்கர்கள் இந்த பாதிப்பைப் பயன்படுத்தலாம். கையொப்பங்கள் தேவையில்லாத இந்த இயல்புநிலை அமைப்பில், பின்வரும் குறியீடு (வாசிப்புக்கு சுருக்கப்பட்டது) பகிரப்பட்டது துடிப்பு பாதுகாப்பு ஒரு ஹேக்கர் 'நிர்வாகி' ஆக எவ்வாறு உள்நுழையலாம் என்பதைக் காட்டுகிறது:
REDACTED REDACTED admin WLS_SP urn: oasis: names: tc: SAML: 2.0: ac: classes: PasswordProtectedTransportஇந்த பாதிப்பு மற்றும் அதனுடன் கண்டுபிடிக்கப்பட்ட முந்தையதை சமாளிக்க, ஆரக்கிள் பயனர்கள் தங்கள் தயாரிப்புகளின் அந்தந்த ஆரக்கிள் கூறுகளை ஜூலை 2018 கிரிட்டிகல் பேட்ச் ஃபார் ஆரக்கிள் ஃப்யூஷன் மிடில்வேருடன் புதுப்பிக்குமாறு கோரியுள்ளனர்.
