Progress Software’in OpenEdge kimlik doğrulama ağ geçidi ve AdminServer’ının, OpenEdge’in tüm desteklenen sürümlerinde mevcut olan kritik bir kimlik doğrulama atlama hatasına karşı yamalanması gerekir.
Şirketin tavsiyesine göre hata, OpenEdge Sürüm 11.7.18 ve önceki sürümlerini, OpenEdge 12.2.13 ve önceki sürümlerini ve OpenEdge 12.8.0’ı etkiliyor.
Hatanın Gönye girişi şunları ekliyor: “Kimlik bilgilerine iletilen belirli beklenmedik içerik, uygun kimlik doğrulama olmadan yetkisiz erişime yol açabilir.”
Progress, güvenlik açığının, OpenEdge kimlik doğrulama ağ geçidinin (OEAG), işletim sisteminin yerel kimlik doğrulama sağlayıcısını kullanan bir OpenEdge etki alanıyla yapılandırıldığında ortaya çıktığını söyledi.
Diğer bir güvenlik açığı senaryosu, yönetici sunucusu bağlantısının OpenEdge Explorer ve OpenEdge yönetimi tarafından yapılmasıdır, çünkü bu işlem aynı zamanda işletim sisteminin yerel kimlik doğrulama sağlayıcısını da kullanır.
Progress, AdminServer oturum açma işlemlerinin her zaman savunmasız olduğunu, çünkü bunların yalnızca işletim sistemi yerel oturum açma işlemlerini desteklediğini açıkladı.
Öte yandan danışma belgesinde, OEAG’ın “yalnızca bir yönetici bir OpenEdge etki alanını işletim sistemi yerel kimlik doğrulama sağlayıcısını kullanacak şekilde yapılandırdığında saldırıya açık olduğu” belirtildi.
“Belirli kullanıcı adı ve parola türlerinin düzgün şekilde işlenememesi durumunda güvenlik açığı, hatalı bir şekilde OE yerel etki alanından kimlik doğrulama başarısını döndürüyor.”