728x90
오라클 OAAM 10G, 원격 세션 하이재킹 취약점 발견
[https://threatpost.com/vulnerabilities-expose-oracle-oam-10g-to-remote-session-hijacking/126775/]
오라클의 다음 분기 Critical Patch Update는 7월 18일에 발표 될 예정이지만, 이전 버전의 OAM(Oracle Access Manager)솔루션의 두 가지 취약점은 패치 된 버그에 포함되지 않았다.오라클의 웹 액세스 관리 및 사용자 관리 솔루션인 버전 10g은 개방형 리다이렉트(redirect) 취약점과 GET 요청에서 쿠키 값을 전송하는 취약점을 가지고 있다.
이 소프트웨어는 독점적인 다중 네트워크 도메인 SSO 기능을 갖추고 있다. 만약 사용자가 피싱 메일의 링크를 통해 OAM 포털에 로그인 한 경우, 공격자가 해당 ObSSOCookie값을 읽고 세션을 가로 챌 수 있다. 오라클은 OAM 11g에서 쿠키가 GET 매개 변수로 암호화되도록 만들었지만, 이 수정 사항을 이전 버전인 10g에 backport하지 않을 예정이라고 밝혔다.
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| SAP, SAP POS, HOST agent에 있는 위험한 취약점 패치 (0) | 2017.07.15 |
|---|---|
| 영국 라디오에서 주파수 하이재킹 공격 당해, 8회 간 임의의 노래 송출 (0) | 2017.07.15 |
| 中 네트워크안전법 주요 내용 및 대응방안 (0) | 2017.07.14 |
| 카피캣 악성코드, 수백만대의 안드로이드 기기 감염 (0) | 2017.07.12 |
| 美 FBI, 이메일 보안 및 랜섬웨어 예방을 위한 디지털 방어 가이던스 발표 (0) | 2017.07.10 |