นักวิจัยด้านความปลอดภัย Wolfgang Ettlinger จาก SEC Consult Vulnerability Lab ได้มีการเปิดเผยถึงการค้นพบช่องโหว่ล่าสุดรหัส CVE-2018-2879 ในซอฟต์แวร์ Oracle Access Manager (OAM) ซึ่งทำให้ผู้โจมตีสามารถข้ามผ่านระบบการตรวจสอบตัวตน รวมไปถึงยึดบัญชีของผู้ใช้งานอื่นๆ ได้
Oracle Access Manager (OAM) เป็นซอฟต์แวร์จากค่าย Oracle ซึ่งมีหน้าที่ในการช่วยจัดการกระบวนการพิสูจน์และยืนยันตัวตนในรูปแบบของ Single Sign-On ในหลายรูปแบบอุปกรณ์
สำหรับช่องโหว่ที่มีการค้นพบนั้น ที่มาที่แท้จริงของช่องโหว่มาจากปัญหาในการทำ Padding อย่างไม่เหมาะสมเมื่อมีการเข้ารหัสข้อมูลซึ่งนำไปสู่การโจมตีที่เรียกว่า Padding Oracle ได้ การทำ Padding Oracle จะทำให้กระบวกการเข้ารหัสที่มีอยู่นั้นอ่อนแอลง และนำไปสู่การเข้าถึงและแก้ไขข้อมูลที่ความอ่อนไหวสูงได้
Recommendation ช่องโหว่ดังกล่าวถูกค้นพบใน OAM รุ่น 11.1.2.3.0 และ 12.2.1.3.0 รวมไปถึงเวอร์ชันก่อนหน้าทั้งหมด ในขณะนี้ Oracle ได้มีการประกาศแพตช์สำหรับช่องโหว่นี้ออกมาแล้วในซอฟต์แวร์รุ่นล่าสุด แนะนำให้ผู้ดูแลระบบทำการอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยด่วน
ที่มา : Theregister
You must be logged in to post a comment.