Oracle iPlanet: Výzkumníci zjistili únik dat a phishing na webových serverech

Melek Ozcelik
Oracle iPlanet

Oracle iPlanet



Technika

Výzkumníci se ponořili do hloubky a našli některá zranitelná místa a úniky dat na webových serverech Oracle iPlanet. Chyby objevené jako CVE-2020-9315 a CVE-2020-9314. Obě odhalená porušení zabezpečení umožňují odhalení citlivých dat. Koneckonců, problémy byly nalezeny v roce 2019 19. ledna. Bylo to v administrační konzoli systému správy serverů společnosti Oracle.



Porušení zabezpečení iPlanet způsobeno dvěma chybami

První bezpečnostní chyba, kterou je CVE-2020-9315, umožňovala čtení libovolných stránek v konzole. Koneckonců to bylo možné pouze nahrazením adresy URL admin GUI pro cílovou stránku. Podle výzkumníků to může být důvodem úniku citlivých dat. Kromě toho zahrnoval také šifrovací klíče a podrobnosti o konfiguraci.

CVE-2020-9314 byla druhá objevená bezpečnostní chyba. Objevil se v konzole na productNameSrc. Tento parametr bylo možné zneužít s productNameHeight a productNameWidth. K tomuto porušení došlo kvůli neúplné opravě jiné chyby CVE-2020-9316.

Kapitola 1 Začínáme (Oracle iPlanet Web Server 7.0.9 ...



Také Číst Google: Google Duo přidává „rodinný režim“ a webové skupinové hovory

CVE-2020-9316 je nespecifikovaný bezpečnostní problém, který má problémy s ověřováním XSS. Koneckonců, tyto parametry zneužívané vkládáním obrázků do domény pro phishing a sociální inženýrství. To však neznamená, že jsou dotčeny dřívější verze aplikací. Může to být pouze ovlivněný webový server Oracle iPlanet 7.0.x.

Neexistují však žádné plány na řešení těchto problémů. Protože iPlanet Web Server 7.0.x již není v Oracle podporován. Společnost se tedy nestará o žádný z budoucích problémů. To znamená, pokud některé společnosti používají tuto starou verzi. Lepší omezit přístup k síti nebo provést upgrade je jediná věc, kterou musíte udělat.



Také Číst Twitter: Twitter testuje nové rozvržení, které usnadní čtení konverzací

Také Číst Skupiny WhatsApp: Vyhledávače našly indexování odkazů na soukromé skupiny WhatsApp

Podíl: