Oracle iPlanet: исследователи обнаружили утечку данных и фишинг в веб-серверах

Melek Ozcelik
Оракул iPlanet

Оракул iPlanet



Технологии

Исследователи копнули глубже и обнаружили несколько уязвимостей и утечек данных в веб-серверах Oracle iPlanet. Уязвимости обнаружены как CVE-2020-9315 и CVE-2020-9314. Обе раскрытые бреши в системе безопасности позволяют раскрыть конфиденциальные данные. Ведь проблемы были обнаружены в 2019 году 19 января. Дело было в административной консоли системы управления серверами Oracle.



Нарушения безопасности iPlanet из-за двух недостатков

Первая уязвимость безопасности — CVE-2020-9315 — позволяла читать любые страницы в консоли. В конце концов, это стало возможным, просто заменив URL-адрес графического интерфейса администратора на целевую страницу. По мнению исследователей, это может быть причиной утечки конфиденциальных данных. Помимо этого, он также включал ключи шифрования и детали конфигурации.

CVE-2020-9314 стала второй обнаруженной уязвимостью в системе безопасности. Он обнаружен в консоли по адресу productNameSrc. Этим параметром можно было злоупотреблять с помощью productNameHeight и productNameWidth. Это нарушение произошло из-за неполного исправления другой уязвимости CVE-2020-9316.

Глава 1 Начало работы (Oracle iPlanet Web Server 7.0.9...



Также читайте Google: Google Duo добавляет «Семейный режим» и групповые звонки через Интернет

CVE-2020-9316 — это неуказанная проблема безопасности, связанная с проблемами проверки XSS. Ведь этими параметрами злоупотребляют, внедряя изображения в домен для фишинга и социальной инженерии. Однако это не означает, что более ранние версии приложений затронуты. Возможно, это касается только Oracle iPlanet Web Server 7.0.x.

Однако планов по устранению этих проблем нет. Потому что iPlanet Web Server 7.0.x больше не поддерживается в Oracle. Таким образом, компания не заботится ни о каких будущих проблемах. Это означает, что если какие-либо компании используют эту старую версию. Им лучше ограничить доступ к сети или сделать апгрейд, это единственное, что можно сделать.



Также читайте Twitter: Twitter тестирует новый макет, который облегчит чтение разговоров

Также читайте Группы WhatsApp: поисковые системы обнаружили индексирующие ссылки на частные группы WhatsApp

Поделиться: