03 Ağu, 2021

[:tr]ForgeRock Erişim Yöneticisinde Kritik RCE[:en]Critical RCE in ForgeRock Access Manager[:]

[:tr]

Australian Cyber Security Centre, dijital kimlik yönetimi firması ForgeRock’un popüler Erişim Yönetimi platformundaki kritik seviyede olan, ön yetkilendirme uzaktan kod yürütme (RCE) güvenlik açığından aktif olarak yararlanılabildiğini tespit etmiştir.

CVE-2021-35464 olarak yayınlanan zafiyet, ForgeRock Access Manager kimlik ve erişim yönetimi aracındaki bir ön kimlik doğrulama uzaktan kod yürütme (RCE) güvenlik açığı ile ilgilidir ve yazılım tarafından kullanılan Jato çerçevesindeki güvenli olmayan bir Java serileştirmesinden kaynaklandığı tespit edilmiştir.

Ticari bir access-management platformu olan ForgeRock web uygulamaları için OpenAM açık kaynaklı erişim yönetimi platformuna dayanmaktadır.

600 kişilik bir ekip tarafından yönetilen ForgeRock, Birleşik Krallık, Fransa, Kanada, Norveç, Almanya, Avustralya ve Singapur’da ofisleri de mevcuttur. ForgeRock’ın sunduğu çözümler şu an için bini aşkın organizasyon tarafından kullanılıyor. ForgeRock’ın müşterileri arasında AutoZone, Philips, Geico, BBC, BMW, Pearson ve Deloitte gibi önemli firmaların olduğunu da eklemekte fayda var, çünkü bu yayınlanan zafiyet aslında dolaylıda olsa bu firmaları etkilemektedir.

Güvenlik açığı 6.0.0.x sürümlerinden 6.5.3’e kadar ve 6.5 dahil tüm 6.5 sürümlerini etkilemektedir.29 Haziran 2021’de yayınlanan AM 7 sürümünü de etkilemektedir. ForgeRock müşterileri için hızlı bir yama hazırlamıştır. Bu yama geçici olarak riski azaltmaktadır.

Kaynakça
thehackernews.com
rapid7.com
threatpost.com

KVKK, ISO 270001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

[:en]The Australian Cyber ​​Security Center has found that a critical pre-authorization remote code execution (RCE ) vulnerability in digital identity management firm ForgeRock’s popular Access Management platform can be actively exploited.
The vulnerability, published as CVE-2021-35464 , relates to a pre-authentication remote code execution (RCE) vulnerability in the ForgeRock Access Manager identity and access management tool and was found to result from an insecure Java serialization in the Jato framework used by the software .
ForgeRock , a commercial access-management platform, is based on the OpenAM open source access management platform for web applications .
Managed by a team of 600 people , ForgeRock also has offices in the UK, France, Canada, Norway, Germany, Australia and Singapore . ForgeRock’s solutions are currently used by more than a thousand organizations. It is worth adding that there are important companies such as AutoZone, Philips, Geico, BBC, BMW, Pearson and Deloitte among ForgeRock’s customers , because this published vulnerability actually affects these companies, albeit indirectly.
The vulnerability affects all versions of 6.5 from 6.0.0.x to 6.5.3 and including 6.5 . It also affects the AM 7 release, which was released on June 29, 2021 . ForgeRock has prepared a quick patch for its customers. This patch temporarily reduces the risk.

Bibliography
thehackernews.com
rapid7.com
threatpost.com
[:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram

İlgili Yazılar