Oracle iPlanet：研究者がWebサーバーでデータ漏洩とフィッシングを発見

Oracle iPlanet

テクノロジー

研究者は深く掘り下げて、OracleiPlanetのWebサーバーにいくつかの脆弱性とデータ漏洩を発見しました。 CVE-2020-9315およびCVE-2020-9314として発見された欠陥。開示されたセキュリティ違反は両方とも、機密データの漏洩を可能にします。結局のところ、問題は2019年1月19日に発見されました。それはOracleのサーバー管理システムの管理コンソールにありました。

2つの欠陥によって行われたiPlanetのセキュリティ侵害

CVE-2020-9315である最初のセキュリティ上の欠陥により、コンソールですべてのページを読み取ることができました。結局のところ、ターゲットページの管理GUIURLを置き換えるだけで可能でした。研究者によると、これが機密データの漏洩の理由になる可能性があります。さらに、暗号化キーと構成の詳細も含まれています。

CVE-2020-9314は、発見された2番目のセキュリティ上の欠陥でした。これは、productNameSrcのコンソールで検出されました。このパラメーターは、productNameHeightおよびproductNameWidthで悪用される可能性がありました。この違反は、別の欠陥CVE-2020-9316の修正が不完全だったために発生しました。

また、読んでください Google：GoogleDuoが「ファミリーモード」とWebベースのグループ通話を追加

CVE-2020-9316は、XSS検証の問題がある不特定のセキュリティ問題です。結局のところ、これらのパラメータは、フィッシングやソーシャルエンジニアリングのドメインに画像を挿入することによって悪用されています。ただし、これは、以前のバージョンのアプリケーションが影響を受けることを意味するものではありません。 Oracle iPlanet Web Server7.0.xのみが影響を受ける可能性があります。

ただし、これらの問題を修正する予定はありません。 iPlanet Web Server7.0.xはOracleでサポートされなくなったためです。したがって、会社は将来の問題については気にしません。つまり、この古いバージョンを使用している企業がある場合です。ネットワークアクセスをより適切に制限するか、アップグレードを行うだけです。

また、読んでください Twitter：Twitterは、会話を読みやすくする新しいレイアウトをテストしています

また、読んでください WhatsAppグループ：検索エンジンがプライベートWhatsAppグループへのインデックスリンクを見つけました

共有: