Oracle iPlanet: дослідники виявили витік даних і фішинг на веб-серверах

Oracle iPlanet

Технологія

Дослідники глибоко копали і виявили деякі вразливості та витоки даних у веб-серверах Oracle iPlanet. Виявлені недоліки як CVE-2020-9315 і CVE-2020-9314. Обидва розкриті порушення безпеки дозволяють розкрити конфіденційні дані. Зрештою, проблеми були виявлені в 2019 році 19 січня. Це було в консолі адміністрування системи керування серверами Oracle.

Порушення безпеки iPlanet через дві недоліки

Перший недолік безпеки CVE-2020-9315 дозволяв читати будь-які сторінки на консолі. Зрештою, це стало можливим, просто замінивши URL-адресу графічного інтерфейсу адміністратора для цільової сторінки. На думку дослідників, це може стати причиною витоку конфіденційних даних. Крім цього, він також включав ключі шифрування та деталі конфігурації.

CVE-2020-9314 став другим виявленим недоліком безпеки. Його виявлено в консолі за адресою productNameSrc. Цим параметром можна було зловживати з productNameHeight і productNameWidth. Це порушення сталося через неповне виправлення іншого недоліку CVE-2020-9316.

Також читайте Google: Google Duo додає «Сімейний режим» і групові дзвінки через Інтернет

CVE-2020-9316 – це невизначена проблема безпеки, яка має проблеми з перевіркою XSS. Адже цими параметрами зловживають шляхом введення зображень в домен для фішингу та соціальної інженерії. Однак це не означає, що це стосується попередніх версій програм. Можливо, це стосується лише веб-сервера Oracle iPlanet 7.0.x.

Проте вирішувати ці проблеми не планується. Оскільки веб-сервер iPlanet 7.0.x більше не підтримується в Oracle. Отже, компанія не хвилює жодну з майбутніх проблем. Це означає, що будь-які компанії використовують цю стару версію. Єдине, що можна зробити, краще обмежити доступ до мережі або зробити оновлення.

Також читайте Twitter: Twitter тестує новий макет, який полегшить читання розмов

Також читайте Групи WhatsApp: пошукові системи знайшли індексування посилань на приватні групи WhatsApp

Розподіляти: