1、Oracle Identity Manager漏洞公告

2017年10月27日，Oracle公告了Oracle Identity Manager存在安全漏洞，對應CVE編號：CVE-2017-10151，漏洞公告鏈接。

根據公告，Oracle Identity Manager存在身份驗證的漏洞，根據分析官方文檔發現是內置的用戶賬號漏洞。

2、Oracle Identity Manager默認用戶賬號

根據官方文檔描述，Oracle Identity Manager在安裝的時候會創建3個默認用戶賬號：XELSYSADM、WEBLOGIC、OIMINTERNAL，其中XELSYSADM、WEBLOGIC賬號密碼在安裝時定義，而OIMINTERNAL賬號密碼內置，默認是：“single space character”即單個空格，更有意思的是官方特別提到：“Do not change the user name or password of this account.”即不要更改此帳戶的用戶名或密碼。

官方對默認賬號的具體描述。

3、漏洞描述

由于存在已知密碼的賬號OIMINTERNAL，Oracle Identity Manager容易受到惡意攻擊，進一步可能導致敏感數據泄露和權限提升，目前Oracle已經提供安全更新補丁，請及時安裝。

4、影響版本范圍

根據官方公告，已知存在漏洞的Oracle Identity Manager版本包括：

11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0

官方更新補丁下載地址（需要登錄）：
https://support.oracle.com/rs?type=doc&id=2322316.1

5、緩解措施（安全運營建議）

更新：檢查受影響的版本，請及時更新補丁。

高危：默認賬號在官方文檔中早已公開，而官方又說明不要對該賬號做用戶名和密碼更改，因此建議盡快安裝安全更新補丁。

安全開發生命周期（SDL）建議：Oracle Identity Manager組件歷史上已經報過多個安全漏洞，建議使用該產品的企業經常關注官方安全更新公告。