1、Oracle Identity Manager漏洞公告

2017年10月27日，Oracle公告了Oracle Identity Manager存在安全漏洞，对应CVE编号：CVE-2017-10151，漏洞公告链接。

根据公告，Oracle Identity Manager存在身份验证的漏洞，根据分析官方文档发现是内置的用户账号漏洞。

2、Oracle Identity Manager默认用户账号

根据官方文档描述，Oracle Identity Manager在安装的时候会创建3个默认用户账号：XELSYSADM、WEBLOGIC、OIMINTERNAL，其中XELSYSADM、WEBLOGIC账号密码在安装时定义，而OIMINTERNAL账号密码内置，默认是：“single space character”即单个空格，更有意思的是官方特别提到：“Do not change the user name or password of this account.”即不要更改此帐户的用户名或密码。

官方对默认账号的具体描述。

3、漏洞描述

由于存在已知密码的账号OIMINTERNAL，Oracle Identity Manager容易受到恶意攻击，进一步可能导致敏感数据泄露和权限提升，目前Oracle已经提供安全更新补丁，请及时安装。

4、影响版本范围

根据官方公告，已知存在漏洞的Oracle Identity Manager版本包括：

11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 12.2.1.3.0

官方更新补丁下载地址（需要登录）：
https://support.oracle.com/rs?type=doc&id=2322316.1

5、缓解措施（安全运营建议）

更新：检查受影响的版本，请及时更新补丁。

高危：默认账号在官方文档中早已公开，而官方又说明不要对该账号做用户名和密码更改，因此建议尽快安装安全更新补丁。

安全开发生命周期（SDL）建议：Oracle Identity Manager组件历史上已经报过多个安全漏洞，建议使用该产品的企业经常关注官方安全更新公告。