მთავარი ტექნიკა Oracle iPlanet: მკვლევარებმა აღმოაჩინეს მონაცემთა გაჟონვა და ფიშინგი ვებ სერვერებში

Oracle iPlanet: მკვლევარებმა აღმოაჩინეს მონაცემთა გაჟონვა და ფიშინგი ვებ სერვერებში

Melek Ozcelik
ტექნიკა
Oracle iPlanet

Oracle iPlanet



ტექნიკა

მკვლევარები ღრმად იჭრებიან და აღმოაჩინეს რამდენიმე დაუცველობა და მონაცემთა გაჟონვა Oracle iPlanet-ის ვებ სერვერებზე. ხარვეზები აღმოჩენილია როგორც CVE-2020-9315 და CVE-2020-9314. ორივე გამჟღავნებული უსაფრთხოების დარღვევა იძლევა მგრძნობიარე მონაცემების გამოვლენას. ყოველივე ამის შემდეგ, პრობლემები ნაპოვნი იქნა 2019 წელს, 19 იანვარს. ის იყო Oracle-ის სერვერების მართვის სისტემის ადმინისტრაციულ კონსოლში.



iPlanet უსაფრთხოების დარღვევა, რომელიც შესრულებულია ორი ხარვეზით

უსაფრთხოების პირველი ხარვეზი, რომელიც არის CVE-2020-9315, საშუალებას აძლევდა ნებისმიერი გვერდის წაკითხვას კონსოლში. ყოველივე ამის შემდეგ, ეს შესაძლებელი გახდა მხოლოდ ადმინისტრატორის GUI URL-ის შეცვლით სამიზნე გვერდისთვის. მკვლევარების აზრით, ეს შეიძლება იყოს მგრძნობიარე მონაცემების გაჟონვის მიზეზი. ამის გარდა, ის ასევე მოიცავდა დაშიფვრის გასაღებებს და კონფიგურაციის დეტალებს.

CVE-2020-9314 იყო უსაფრთხოების მეორე ხარვეზი აღმოჩენილი. ის აღმოჩენილია კონსოლში productNameSrc-ზე. ამ პარამეტრის ბოროტად გამოყენება შესაძლებელი გახდა productNameHeight და productNameWidth. ეს დარღვევა მოხდა სხვა CVE-2020-9316 ხარვეზის არასრული გამოსწორების გამო.

თავი 1 დაწყება (Oracle iPlanet ვებ სერვერი 7.0.9 ...



ასევე, წაიკითხეთ Google: Google Duo ამატებს „ოჯახურ რეჟიმს“ და ვებ-ზე დაფუძნებულ ჯგუფურ ზარებს

CVE-2020-9316 არის დაუზუსტებელი უსაფრთხოების საკითხი, რომელსაც აქვს XSS ვალიდაციის პრობლემები. ყოველივე ამის შემდეგ, ეს პარამეტრები ბოროტად იქნა გამოყენებული ფიშინგისა და სოციალური ინჟინერიის დომენში სურათების შეყვანით. თუმცა, ეს არ ნიშნავს იმას, რომ აპლიკაციების ადრინდელი ვერსიები დაზარალდება. ეს შეიძლება იყოს მხოლოდ Oracle iPlanet ვებ სერვერი 7.0.x.

თუმცა, ამ პრობლემების გამოსწორების გეგმები არ არსებობს. იმის გამო, რომ iPlanet Web Server 7.0.x აღარ არის მხარდაჭერილი Oracle-ში. ასე რომ, კომპანიას არ აინტერესებს არც ერთი სამომავლო პრობლემა. ეს ნიშნავს, თუ რომელიმე კომპანია იყენებს ამ ძველ ვერსიას. ისინი უკეთესად შეზღუდავენ ქსელში წვდომას ან განახლების გაკეთება ერთადერთია.



ასევე, წაიკითხეთ Twitter: Twitter ამოწმებს ახალ განლაგებას, რომელიც გაადვილებს საუბრების კითხვას

ასევე, წაიკითხეთ WhatsApp ჯგუფები: საძიებო სისტემებმა იპოვეს ინდექსირების ლინკები პირადი WhatsApp ჯგუფებისთვის

ᲬᲘᲚᲘ:



ᲡᲐᲡᲐᲠᲒᲔᲑᲚᲝ ᲐᲛᲑᲔᲑᲘ

პოპულარული პოსტები

გარეშე