Padding oracle w produkcie Oracle. Można podszyć się pod dowolnego usera

Wprawdzie podatność padding oracle ma tyle wspólnego z firmą Oracle, co krzesło z krzesłem elektrycznym; mimo tego czasem można znaleźć wspólne elementy ;).

Podatny jest produkt Oracle Access Manager, zapewniający m.im. usługę Single-Sign-On (SSO). Ale… można zalogować się w nim jako dowolny użytkownik:

By exploiting this vulnerability, we were able to craft a session token. When a WebGate is presented with this token, it would accept it as a legitimate form of authentication and allow us to access protected resources. What’s more, the session cookie crafting process lets us create a session cookie for an arbitrary username, thus allowing us to impersonate any user known to the OAM.

Oracle wydał stosowne aktualizacje.

–ms