甲骨文又来没见过的邮件。。。

Oracle已识别出影响Oracle云基础设施(OCI)身份识别服务的安全漏洞CVE-2022-21503。这个漏洞收到了4.9的CVSS基本分数。Oracle已经完成了针对这个问题的补丁活动。但是，你必须在2022年7月18日前采取额外行动。如果不能完成这些步骤，可能会导致云服务中断。

以下信息详细描述了该漏洞、Oracle已经采取的措施以及您作为客户必须采取的措施。

CVE-2022-21503影响OCI身份服务中的一些凭证。由于这个漏洞，管理员及其对租户中的OCI审计记录具有读访问权的指定人员可以以明文形式查看一些凭证。这些管理员及其指定人员可以使用此类凭据作为关联主体进行身份验证。

Oracle已经采取了以下步骤:
Oracle已经修复了OCI Identity服务。Identity现在编校发送给OCI Audit服务的数据中的凭据值。身份现在强制受影响的凭据过期。身份还将提示用户使用过期的控制台密码在下次登录控制台时更改这些密码。
Oracle已经修复了OCI Audit服务。现在，当查看审计记录时，审计会屏蔽此凭据数据。
Oracle删除了受影响的用户凭据，该用户的所属用户缺乏轮换该凭据的能力。
•Oracle已经轮换了IdP客户端证书，其中IDCS (Oracle identity Cloud Service)是身份提供商。

需要的行动

您必须旋转以下类型的所有受影响凭据:
•控制台用户界面密码
•SMTP凭证
•OAuth 2.0客户端凭证
•身份验证令牌
•客户密钥
•MFA TOTP设备种子
•IdP客户端凭据，身份提供者不是Oracle IDCS

如果您在2022年7月18日前不轮换这些证书，这些证书将会过期。当这些凭据过期时，没有人可以使用这些凭据进行身份验证，这可能会中断服务的操作。