Oracle iPlanet Web服务器中披露的数据泄露、网络钓鱼安全漏洞
研究人员披露了一组影响到Oracle的iPlanet Web服务器的漏洞。该安全漏洞被追踪为CVE-2020-9315和CVE-2020-9314,该安全漏洞允许敏感数据暴露和有限的注入攻击。
该问题最早由Nightwatch网络安全研究人员于2020年1月19日发现,是在企业服务器管理系统的Web管理控制台中发现的。
CVE-2020-9315允许在没有认证的情况下,通过简单地替换目标页面的管理界面URL,读取控制台内的任何页面。研究人员表示,这个漏洞可能导致敏感数据泄露,包括配置信息和加密密钥。
第二个安全漏洞CVE-2020-9314,是在控制台的 "productNameSrc "参数中发现的。对CVE-2012-0516的不完整修复,这是一个包含XSS验证问题的 "未指定的 "安全问题,它允许该参数与 "productNameHeight "和 "productNameWidth "参数一起被滥用,用于向域中注入图像,以达到网络钓鱼和社会工程的目的。
Oracle iPlanet Web Server 7.0.x容易受到这些问题的影响,但不知道该应用的早期版本是否也会受到影响。研究人员表示,最新版本的Oracle Glassfish和Eclipse Glassfish与iPlanet "共享共同代码",但它们 "似乎并不存在漏洞。"
由于iPlanet Web Server 7.0.x是一个遗留产品,不再受Oracle的支持(.PDF),因此没有计划发布安全修复方案。
"由于甲骨文公司不再支持Oracle iPlanet Web Server 7.0.x,因此公司的政策是,没有涉及甲骨文的协调披露。"该公司表示。"报告人如果发现甲骨文不再支持的产品存在安全漏洞,可以在没有甲骨文参与的情况下自由披露漏洞细节。"
如果企业仍然在使用这种遗留的软件,建议采取其他控制措施来降低被利用的风险,比如限制网络访问 -- 或者进行升级。
在发现后,研究人员最初于1月24日向思科公司发送了他们的发现。由于产品不再支持,这家科技巨头两次拒绝了报告,但安全漏洞仍被转交给MITRE进行CVE分配。到2月2日,该机构已经分配了CVE编号,导致5月份公开披露。
几个月前,思科公司披露并修复了十几个影响自适应安全设备(ASA)和Firepower威胁防御(FTD)软件套件的高危漏洞。
总共修复了八个拒绝服务漏洞、一个内存泄漏问题、一个路径穿越问题和一个身份验证绕过漏洞 -- 其中最严重的漏洞获得了9.1分的CVSS评分。
ZDNet已经联系到思科,我们将在收到消息后及时更新。
页:
[1]