现漏洞 甲骨文 Access Manager 黑客连管理员账号都能霸占 (漏 甲骨文)
雷锋网消息,据外媒美国时间5月3日报道,来自 SEC 漏洞咨询实验室安全研究人员 Wolfgang Ettlinger在甲骨文 Access Manager(以下简称 OAM)上发现了一个安全漏洞,黑客可以利用它远程绕过身份验证程序,接管任何用户的账号。如果黑客愿意,他们连管理员的账号都能霸占。
OAM 不但支持多重身份验证(MFA),还能实现 Web 单点登录(SSO)。此外,会话管理、标准 SAML 联盟和 OAuth 等安全防护一应俱全,方便用户安全的访问移动应用和外部云存储。 不过,这样严密的防护依然存在漏洞。
这次发现的漏洞代号为 CVE-2018-2879,与 OAM 使用的一种有缺陷的密码格式有关。
“OAM 是甲骨文 Fusion Middleware 的组成部分之一,后者负责掌控各种类型网络应用的认证。”SEC 的 Ettlinger解释道。
“我们会通过展示证明加密实现的小特性是如何对产品安全造成实际影响的。 只要利用了这一漏洞,我们就能制作任意的身份验证令牌来扮演任何用户,同时还能有效的破坏 OAM 的主要功能。 ”Ettlinger 说道。
Ettlinger 解释称,攻击者可以利用该漏洞找到 OAM 处理加密信息的弱点,诱使该软件意外透露相关信息,随后利用这些信息冒充其他用户。
攻击者能组织一场填充攻击,使甲骨文披露账户的授权 Cookie。随后它就能制作出能生成有效登陆密匙的脚本,想冒充谁就冒充谁。
“在研究中我们发现,OAM 用到的密码格式有个严重的漏洞,只要稍加利用,我们就能制作出会话令牌。拿这个令牌去骗 WebGate 一骗一个准,想接入受保护的资源简直易如反掌。”Ettlinger 解释道。“更可怕的是,会话 Cookie 的生成过程让我们能冒充任意用户名搞破坏。”
雷锋网了解到, OAM 11g 和 12c 版本都受到了该漏洞的影响。
Ettlinger 去年 11 月就将该漏洞报告给了甲骨文,不过 IT 巨头在今年 4 月的补丁更新中才解决了在这一问题。如果你也在用 OAM,还是抓紧时间打补丁来封堵漏洞吧。
雷锋网Via. Security AfFAIRs
原创文章,未经授权禁止转载。详情见 转载须知 。
-房产-装修家居网址
模甸科技股份有限公司专业的直流/直流电源转换器、LED驱动器研发制造商,产品范围涵盖基本输出功率的0.25W到高功率密度60W,从超威型SMD包装、工业通用型SIP单排插件及DIP双排插件包装到1x1,1.6x1,2x1,2x1.6,2x2,1/4砖,半砖全砖等各种包装尺寸齐全。
恒林(广州)再生资源回收有限公司提供酒店回收,空调回收,电脑回收,库存物资回收,稀有金属回收,有色金属回收,医疗设备回收,实验设备回收,旧设备回收,电子设备回收各种废品回收等,可提供上门回收服务,欢迎来电咨询。
湖南八喜广告制作有限公司是长沙集活动策划,广告设计制作、标识标牌、活动展览于一体的广告公司。公司主要经营范围为:长沙活动设计执行,庆典活动策划,团建活动执行,喷绘写真制作,形象墙制作,科室牌制作,舞台音响租赁,led显示屏租赁,招牌制作,发光字制作等,公司团队有多年实践经验,以高效的执行力,卓越的服务,帮助企业实现线上线下的营销目的。
电子皮带秤厂家徐州金鼎测控技术有限公司有着多年的生产经验和领先的技术水平,致力于为客户提供高性价比的电子皮带秤,2022年电子皮带秤最新报价尽在这里,电话:15062175231。
吉水县聚源堂天然香料油有限公司(www.jxjuyuantang.com)是洋甘菊油,丁香罗勒油现货供应商。
数十万站长正在享用热网提供的云服务器、CDN、域名解析等服务,7x24小时售后支持,专业、快速、可信耐的服务,助站长快速成长。
一个默默无闻的主页
哈尔滨幸福彤道心理咨询工作室是黑龙江省专业从事哈尔滨心理咨询、儿童心理咨询、青少年心理咨询以及抑郁疏导、婚姻问题咨询、离婚挽回调解、心理沙盘、家庭教育咨询、儿童感统训练、自闭症康复的机构,欢迎您来电咨询。
三五云商城是三五互联旗下产品的线上商城,主要提供域名、企业邮箱、办公软件、虚拟主机、网站建设等服务。
木子生活记录,木子个人生活工作点滴记录
深圳教师资格考试网提供2025年深圳教师资格证报名时间、报名入口、成绩查询、考试时间、考试真题、考试试题、教师资格证面试和教师资格证培训等信息,深圳教师资格证考试网-专注于教师资格证考试服务平台(www.szjiaoshi.cn)深圳教师资格证咨询、报考、辅导一站式服务平台
跟帖评论是网络上的互动形式,但也是发表一些看法的地方,昨日,国家网信办召开全国跟帖评论专项整治视频会议,部署集中治理跟帖评论存在的突出问题,各省,区、市,网信办以及部分中央新闻网站、商业网站负责人参加,腾讯表示腾讯将进一步完善跟帖评论管理机制,为网民提供高质量的跟帖评论平台,网易表示将进一步强化网站主体责任,把净化网络空间、推动网站健...。
大家可以根据平台,去查询取消标记入口,或者有什么不同可以添加客服咨询,或者公众号搜索,号码标记取消,第一个就是,1.腾讯手机管家号码公众平台,能去除腾讯旗下各种手机APP的号码标记,需要输入手机号、收到的验证码和申诉理由,实测申请后数分钟内删除成功并短信提示,2.百度号码认证平台,能去除百度旗下各种手机APP的号码标记,需要输入手机号...。
雷锋网AI金融评论26日消息,上周曾传出终止IPO消息的加密货币矿机公司比特大陆,Bitmain,终于在今日,9月26日,在香港联交所官方网站上载A1招股文件,正式启动了香港联交所主板上市的计划,据悉,此次比特大陆赴港上市,将有望成为小米、美团之后的香港第三家同股不同权公司,招股书数据显示,比特大陆从2015至2017年净利润分别为0...。
在调查俄罗斯2004年8月24日发生的两架客机坠毁事件时,新的情况浮出水面,进一步确认图,134在坠毁前也发生了爆炸,这次事件发生在车臣共和国进行一年来的第二次总统选举的当天,初步确认,两架飞机上的90名遇难者中已有88人身份得到确认,安全部门正在努力识别尚未确认的两名女性乘客,其中一人尸体残块已被送往莫斯科进行身份鉴定和分析是否有爆...。
医保局原来是人力资源与社会保障局的下属机构,但现在国家设立了国家医保局,是正部级单位,如果是新挂牌的省医保局就是国家医保局的对应单位,整合了人力资源和社会保障厅的城镇职工和城镇居民基本医疗保险,生育保险职责,卫生和计划生育委员会的新型农村合作医疗职责,发展和改革委员会的药品和医疗服务价格管理职责,民政厅的医疗救助职责,就与人社厅,卫计...。
随着大众健康意识的逐步提高,养生产品迎来了发展的契机,各种类型的健康产品相继问世,给予消费者充足的选择余地,满足了人们的购物需求,据统计,近年来健康产品销量,呈现出逐年递增的态势,整体发展形势稳中有升,既如此,创业人士适时介入行业发展,显得再好不过了,在此,文章将围绕品牌店有哪些为题,展开详细的解析,给有需要的朋友提供必要的创业主张,...。
随着科技的飞速发展,人工智能,AI,已经成为全球市场的热门话题,根据市场研究报告,全球AI市场规模预计将在未来几年内持续增长,这主要得益于大数据、云计算、物联网等技术的快速发展,为AI技术的发展提供了丰富的数据和计算资源,...。
外地期间11日,俄罗斯总统助理帕特鲁舍夫在接受俄媒采访时示意,美国和英国有或者再次实施相似于破坏,北溪,自然气管道的恐惧袭击,帕特鲁舍夫指出,有消息显示,美英将破坏,北溪,管道的行为视作推进己方经济利益之举,包含海底光缆在内的基础设备名目有或者成为其新的破坏指标,北溪,自然气管道从俄罗斯经波罗的海直通德国,向欧洲输气,2022年9月...。
欢迎到来音乐探求之旅!当天,我将揭开五个宝藏般的收费音乐下载网站,让你的音乐环球充溢无尽的旋律和热情,这些网站不只资源丰盛,涵盖各类歌手的抢手之作,还能让你在线畅听和下载MP3格局,预备好你的耳机,咱们开局吧!1.MyFreeMP3这个音乐宝库简直囊括了你想听的一切歌曲,无论是抢手单曲还是无损音质,都在这里等你,页面设计繁复,音乐分类...。
吉利远景X3估量将在2024年上半年正式面市,吉利远景X3作为吉利汽车旗下的一款紧凑型SUV,自亮相以来就备受关注,其设计时兴动感,内饰奢侈温馨,能源体现微弱,估量将成为市场上的一匹黑马,吉利汽车不时以其高质量和杰出的性能著称,而远景X3的推出将进一步坚固其在国际市场的位置,从吉利汽车的市场战略来看,远景X3的上市期间选用在2024年...。
目前,有一些冷门但具有挣钱潜力的行业正在崭露头角。以下是一些目前被认为是冷门但具有挣钱潜力的行业:1.可持续能源:随着对环境可持续性的关注增加,可持续能源行业正迅速发展。包括太阳能、风能、生物能等可
我们都知道做任何的项目都离不开流量的加持,不论是实体还是网络,只有前期的时候搞定流量,才能有可能赚钱,如果连流量都搞不定怎么可能赚钱,没有流量还想赚钱,基本上是不存在的,按照流量的属性来分,可以分为男粉,女粉,购物粉,宝妈粉......按照流量的精准度来分,可以分为,泛粉和精准粉丝,什么是精准粉丝,就是愿意为你的价值主张付费的,什么是...。
在支行工作的时候,有几个存款客户给我留下了极其深刻的印象,第一个是存款余额排名前百的大户,行长亲自维护的vip,过年前,我按惯例给这位尚未谋面,我才调过去,的客户打电话,拉点什么时候回家啊今年生意如何的家常,其实主要目的是问他今年挣到钱没拿来存点,电话里的美男子非常谨慎,直接嗯了几声跳过寒暄环节,问我的手机号码,说回来给我打电话,这反...。
雷锋网按,今年的CES,Mobileye宣布了两项重要的合作,一项是牵手中国最大的汽车销售集团上汽集团,另一个则是韩国大邱广域的合作;前者聚焦于Moblieye的路网资产管理;后者则是近年来Mobileye常常推广的MaaS部署,此次和上汽的合作将是聚焦在高精度地图上的合作,通过上汽集团子公司中海庭将Mobileye路网技术应用于上汽...。
大规模预训练语言模型能否实现认知智能,自GPT,3问世以来,关于这个问题的讨论从来没有停止,也一直没有定论,作为NLG领域的标杆模型,GPT,3在X,to,Text系列任务中表现极佳,文章写作、图表分析、聊天对话都能轻松实现,NLG,NaturalLanguageGeneration,是自然语言处理领域的一个分支,区别于NLU,更侧重...。
汉堡对每一个小朋友来说都是他们喜欢的美食,在今天的市场上不仅在购买起来会非常的方便,而且汉堡品牌也比较多,当越来越多的人进行喊享汉堡美食的时候,就让一些创业的人想要进入汉堡行业,在一些商场中我们能够看见的品牌也比较多,汉堡汉堡也就成功地进入到了创业者的眼中,令他们不解的是,如今品牌竞争压力这么大,加盟汉堡汉堡怎么样,在2000年4月份...。
