Oracle iPlanet: Tutkijat löysivät tietovuotoja ja tietojenkalastelua verkkopalvelimista
Oracle iPlanet
Tekniikka
Tutkijat kaivautuivat syvälle ja löysivät haavoittuvuuksia ja tietovuotoja Oracle iPlanetin verkkopalvelimista. Virheet löydettiin CVE-2020-9315 ja CVE-2020-9314. Molemmat julkistetut tietoturvaloukkaukset mahdollistavat arkaluonteisten tietojen paljastamisen. Ongelmathan löytyivät vuonna 2019 19. tammikuuta. Se oli Oraclen palvelinhallintajärjestelmän hallintakonsolissa.
Kahden puutteen aiheuttamat iPlanet-tietoturvarikkomukset
Ensimmäinen tietoturvavirhe, CVE-2020-9315, mahdollisti kaikkien sivujen lukemisen konsolissa. Loppujen lopuksi se oli mahdollista vain korvaamalla kohdesivun järjestelmänvalvojan GUI-URL-osoite. Tutkijoiden mukaan tämä voi olla syy arkaluonteisten tietojen vuotamiseen. Sen lisäksi se sisälsi myös salausavaimet ja määritystiedot.
CVE-2020-9314 oli toinen löydetty tietoturvavirhe. Se löydettiin konsolista osoitteessa productNameSrc. Tätä parametria voitiin käyttää väärin tuotteilla productNameHeight ja productNameWidth. Tämä rikkomus johtui toisen virheen CVE-2020-9316 puutteellisesta korjauksesta.
Myös Lue Google: Google Duo lisää 'perhetilan' ja verkkopohjaiset ryhmäpuhelut
CVE-2020-9316 on määrittelemätön tietoturvaongelma, jossa on XSS-tarkistusongelmia. Loppujen lopuksi näitä parametreja väärinkäytettiin lisäämällä kuvia verkkotunnukseen tietojenkalastelua ja sosiaalista manipulointia varten. Tämä ei kuitenkaan tarkoita, että tämä vaikuttaa sovellusten aikaisempiin versioihin. Se voi olla vain Oracle iPlanet Web Server 7.0.x vaikuttaa vain.
Näiden ongelmien korjaamiseksi ei kuitenkaan ole suunnitelmia. Koska Oracle ei enää tue iPlanet Web Server 7.0.x -versiota. Yritys ei siis välitä mistään tulevista ongelmista. Tämä tarkoittaa, että jos jokin yritys käyttää tätä vanhaa versiota. Niiden on parempi rajoittaa verkkoon pääsyä tai tehdä päivitys on ainoa asia, mitä tehdä.
Myös Lue Twitter: Twitter testaa uutta ulkoasua, joka tekee keskustelujen lukemisesta helpompaa
Myös Lue WhatsApp-ryhmät: Hakukoneet löysivät indeksointilinkkejä yksityisiin WhatsApp-ryhmiin
Jaa: