Oracle iPlanet: Natagpuan ng mga Mananaliksik ang Data Leak At Phishing Sa Mga Web Server

Melek Ozcelik
Oracle iPlanet

Oracle iPlanet



Teknolohiya

Ang mga mananaliksik ay naghukay ng malalim at nakakita ng ilang mga kahinaan at mga pagtagas ng data sa mga web server ng Oracle iPlanet. Ang mga bahid na natuklasan bilang CVE-2020-9315 at CVE-2020-9314. Pareho sa mga ibinunyag na paglabag sa seguridad ay nagbibigay-daan sa pagkakalantad ng sensitibong data. Pagkatapos ng lahat, ang mga isyu ay natagpuan noong 2019 noong Enero 19. Ito ay nasa administration console ng sistema ng pamamahala ng server ng Oracle.



Ang Mga Paglabag sa Seguridad ng iPlanet ay Ginawa Ng Dalawang Kapintasan

Ang unang kapintasan sa seguridad na CVE-2020-9315 ay nagpapahintulot sa anumang mga pahina na mabasa sa console. Pagkatapos ng lahat, ito ay posible sa pamamagitan lamang ng pagpapalit ng admin GUI URL para sa target na pahina. Ayon sa mga mananaliksik, maaari itong maging dahilan ng pagtagas ng sensitibong data. Higit pa riyan, kasama rin dito ang mga susi sa pag-encrypt at mga detalye ng pagsasaayos.

Ang CVE-2020-9314 ang pangalawang security flaw na natuklasan. Natuklasan ito sa console sa productNameSrc. Ang parameter na ito ay nagawang abusuhin sa productNameHeight at productNameWidth. Nangyari ang paglabag na ito dahil sa hindi kumpletong pag-aayos para sa isa pang depekto na CVE-2020-9316.

Kabanata 1 Pagsisimula (Oracle iPlanet Web Server 7.0.9 ...



Gayundin, Basahin Google: Nagdaragdag ang Google Duo ng 'Family Mode' At Mga Panggrupong Tawag na nakabase sa Web

Ang CVE-2020-9316 ay isang hindi natukoy na isyu sa seguridad na may mga problema sa pagpapatunay ng XSS. Pagkatapos ng lahat, ang mga parameter na ito ay inabuso sa pamamagitan ng pag-iniksyon ng mga larawan sa domain para sa phishing at social engineering. Gayunpaman, hindi ito nangangahulugan na ang mga naunang bersyon ng mga application ay apektado. Maaaring ang Oracle iPlanet Web Server 7.0.x lang ang apektado.

Gayunpaman, walang mga plano para sa pag-aayos ng mga isyung ito. Dahil ang iPlanet Web Server 7.0.x ay hindi na sinusuportahan sa Oracle. Kaya, ang kumpanya ay walang pakialam sa alinman sa mga problema sa hinaharap. Nangangahulugan iyon kung ang anumang mga kumpanya ay gumagamit ng lumang bersyon na ito. Mas mahusay nilang paghihigpitan ang pag-access sa network o gumawa ng pag-upgrade ang tanging bagay na dapat gawin.



Gayundin, Basahin Twitter: Sinusubukan ng Twitter ang Isang Bagong Layout na Magpapadali sa Pagbasa ng Mga Pag-uusap

Gayundin, Basahin Mga Grupo ng WhatsApp: Nakahanap ang Mga Search Engine ng Mga Link sa Pag-index Sa Mga Pribadong WhatsApp Group

Ibahagi: