甲骨文又来没见过的邮件。。。

Oracle 已识别出影响 Oracle 云基础设施 (OCI) 身份识别服务的安全漏洞 CVE-2022-21503。这个漏洞收到了 4.9 的 CVSS 基本分数。Oracle 已经完成了针对这个问题的补丁活动。但是，你必须在 2022 年 7 月 18 日前采取额外行动。如果不能完成这些步骤，可能会导致云服务中断。

以下信息详细描述了该漏洞、Oracle 已经采取的措施以及您作为客户必须采取的措施。

CVE-2022-21503 影响 OCI 身份服务中的一些凭证。由于这个漏洞，管理员及其对租户中的 OCI 审计记录具有读访问权的指定人员可以以明文形式查看一些凭证。这些管理员及其指定人员可以使用此类凭据作为关联主体进行身份验证。

Oracle 已经采取了以下步骤:
Oracle 已经修复了 OCI Identity 服务。Identity 现在编校发送给 OCI Audit 服务的数据中的凭据值。身份现在强制受影响的凭据过期。身份还将提示用户使用过期的控制台密码在下次登录控制台时更改这些密码。
Oracle 已经修复了 OCI Audit 服务。现在，当查看审计记录时，审计会屏蔽此凭据数据。
Oracle 删除了受影响的用户凭据，该用户的所属用户缺乏轮换该凭据的能力。
•Oracle 已经轮换了 IdP 客户端证书，其中 IDCS (Oracle identity Cloud Service)是身份提供商。

需要的行动

您必须旋转以下类型的所有受影响凭据:
•控制台用户界面密码
•SMTP 凭证
•OAuth 2.0 客户端凭证
•身份验证令牌
•客户密钥
•MFA TOTP 设备种子
•IdP 客户端凭据，身份提供者不是 Oracle IDCS

如果您在 2022 年 7 月 18 日前不轮换这些证书，这些证书将会过期。当这些凭据过期时，没有人可以使用这些凭据进行身份验证，这可能会中断服务的操作。