Oracle iPlanet: teadlased leidsid veebiserverites andmelekke ja andmepüügi

Melek Ozcelik
Oracle iPlanet

Oracle iPlanet



Tehnoloogia

Teadlased kaevusid sügavale ja leidsid Oracle iPlaneti veebiserverites mõningaid haavatavusi ja andmelekkeid. Puudused avastati kui CVE-2020-9315 ja CVE-2020-9314. Mõlemad avalikustatud turvarikkumised võimaldavad paljastada tundlikke andmeid. Probleemid leiti ju 2019. aastal 19. jaanuaril. See oli Oracle’i serverihaldussüsteemi halduskonsoolis.



iPlaneti turvarikkumised on tehtud kahe vea tõttu

Esimene turvaviga, milleks on CVE-2020-9315, võimaldas konsoolis lugeda kõiki lehti. Lõppude lõpuks oli see võimalik lihtsalt sihtlehe administraatori GUI URL-i asendamisega. Teadlaste sõnul võib see olla tundlike andmete lekkimise põhjuseks. Peale selle sisaldas see ka krüpteerimisvõtmeid ja konfiguratsiooni üksikasju.

CVE-2020-9314 oli teine ​​avastatud turvaviga. See avastati konsoolis aadressil productNameSrc. Seda parameetrit saadi kuritarvitada parameetritega productNameHeight ja productNameWidth. See rikkumine juhtus teise vea CVE-2020-9316 mittetäieliku parandamise tõttu.

1. peatükk Alustamine (Oracle iPlanet Web Server 7.0.9 ...



Lisaks Loe Google: Google Duo lisab pererežiimi ja veebipõhised grupikõned

CVE-2020-9316 on määratlemata turbeprobleem, millel on XSS-i valideerimisprobleemid. Lõppude lõpuks kuritarvitati neid parameetreid, sisestades domeenile pilte andmepüügi ja sotsiaalse manipuleerimise eesmärgil. See aga ei tähenda, et see mõjutaks rakenduste varasemaid versioone. See võib olla ainult Oracle iPlanet Web Server 7.0.x mõjutatud.

Siiski ei ole kavas neid probleeme lahendada. Kuna Oracle ei toeta enam iPlanet Web Server 7.0.x. Seega ei hooli ettevõte tulevastest probleemidest. See tähendab, et kui mõni ettevõte kasutab seda vana versiooni. Ainus asi, mida teha, on parem võrgule juurdepääsu piiramine või versiooniuuenduse tegemine.



Lisaks Loe Twitter: Twitter katsetab uut kujundust, mis muudab vestluste lugemise lihtsamaks

Lisaks Loe WhatsAppi grupid: otsingumootorid leidsid privaatsete WhatsAppi gruppide indekseerimislingid

Osa: