Oracle Identity Manager Kritik Güvenlik Açığı Yaması (CVE-2026-21992)
Bu bilgi bankası makalesi, Oracle tarafından kritik olarak sınıflandırılan ve kimlik doğrulaması gerektirmeyen bir Uzaktan Kod Yürütme (RCE) güvenlik açığını ele almaktadır. Bu açık, özellikle Oracle Identity Manager (OIM) ve Web Services Manager (WSM) bileşenlerini etkilemektedir ve CVE-2026-21992 olarak takip edilmektedir. Bu tür kimlik doğrulaması gerektirmeyen RCE açıkları, saldırganların sistem üzerinde tam kontrol sağlamasına olanak tanıdığı için en yüksek önceliğe sahiptir.
Sorun Tanımı: CVE-2026-21992
CVE-2026-21992, Oracle Identity Manager ve Web Services Manager'ın belirli sürümlerinde bulunan kritik bir güvenlik açığıdır. Bu açığın en tehlikeli yönü, saldırganın herhangi bir kullanıcı kimliği veya oturum bilgisi olmadan uzaktan kod çalıştırmasına izin vermesidir. Başarılı bir istismar, sistemin güvenliğinin tamamen ihlal edilmesine, hassas verilerin çalınmasına veya sistemin hizmet dışı bırakılmasına yol açabilir.
UYARI: Bu açık, 'unauthenticated' (kimlik doğrulaması gerektirmeyen) olarak sınıflandırıldığından, saldırıya uğrama riski çok yüksektir. Etkilenen ürünleri kullanan tüm kuruluşların, Oracle tarafından yayınlanan acil yamayı derhal uygulaması zorunludur.
Etkilenen Ürünler ve Sürümler
Bu güvenlik açığı öncelikle aşağıdaki Oracle ürünlerini etkilemektedir:
- Oracle Identity Manager (OIM)
- Oracle Web Services Manager (WSM)
Lütfen Oracle Security Alert bültenini kontrol ederek kullandığınız spesifik sürümün bu yama kapsamına girip girmediğini doğrulayın. Genellikle, bu tür kritik yamalar, birden fazla ana sürümü kapsayacak şekilde yayınlanır.
Çözüm Adımları: Acil Yama Uygulaması
Bu sorunu gidermek için tek ve en güvenilir çözüm, Oracle tarafından yayınlanan Out-of-Band (Olağan Dışı) güvenlik güncellemesini uygulamaktır. Yama uygulama süreci, genellikle standart Oracle Critical Patch Update (CPU) prosedürlerine benzer, ancak aciliyeti nedeniyle daha hızlı hareket edilmelidir.
- Oracle Support Portalına Erişim: My Oracle Support (MOS) portalına yönetici kimlik bilgileriyle giriş yapın.
- Yama Bildirimini Bulma: İlgili Security Alert veya Patch Release notlarını arayın. CVE-2026-21992'yi içeren en son yama setini (genellikle bir Bundle Patch veya One-Off Patch olarak gelir) indirin.
- Ön Koşulları Kontrol Etme: Yama uygulama kılavuzunu (Readme) dikkatlice okuyun. Gerekli olan minimum sürüm gereksinimlerini ve ön koşul yamalarını kontrol edin.
- Sistem Yedeklemesi: Yama uygulamasına başlamadan önce, Identity Manager ve WSM ortamının tam bir yedeğini (veritabanı ve uygulama sunucusu dosyaları dahil) alın.
- Yama Uygulama: Oracle'ın sağladığı yama uygulama aracını (örneğin OPatch) kullanarak yamayı uygulayın. Aşağıdaki komut, genel bir OPatch uygulama şablonudur; kesin komutlar yama dokümantasyonunda belirtilecektir.
Örnek Yama Uygulama Komut Şablonu (Linux/Unix)
# 1. OPatch aracının doğru yolda olduğundan emin olun
export PATH=$ORACLE_HOME/OPatch:$PATH
# 2. Yama dizinine gidin (indirilen yama klasörü)
cd /path/to/downloaded/patch_directory
# 3. Yama uygulamasını çalıştırın
opatch apply
# 4. Uygulama sonrası doğrulama
opatch lsinventory | grep
Doğrulama ve Sonrası Kontroller
Yama başarıyla uygulandıktan sonra, sistemin düzgün çalıştığından emin olmak için kapsamlı testler yapılmalıdır. Bu, özellikle Identity Manager'ın temel kimlik yönetimi ve WSM'nin servis yönetimi işlevlerini kapsar.
- Uygulama sunucularını yeniden başlatın (gerekliyse).
- Test kullanıcıları ile oturum açma ve temel iş akışlarını (örneğin kullanıcı provizyonu) test edin.
- Güvenlik loglarını kontrol ederek anormal aktivite olup olmadığını doğrulayın.
İPUCU: Eğer ortamınızda birden fazla Oracle WebLogic veya Identity Manager sunucusu varsa, bu yamayı tüm ilgili sunuculara aynı anda veya ardışık olarak, kesinti süresi planlamasına uygun şekilde uygulayın.
