img_loading
智能检测中
帖子

小喇叭+ 发布

12-31 23:03
系统消息:尊敬的用户,动象论坛的邮件系统已经完美修复,您现在可以顺利使用自助注册和找回密码功能了。万分感谢你对动象论坛的喜爱与支持~
06-10 15:28
系统消息:很抱歉的通知您,当前论坛的邮件系统暂时出现故障,因此自助注册和找回密码的功能将无法使用。如有任何需要,您可以直接添加客服QQ:230273459进行人工操作。对此给您带来的不便,我们深感歉意。
06-10 09:11
admin动象论坛祝大家端午快乐~悠悠粽草,人间芳华,年年岁岁皆如愿,岁岁年年长安康。
06-10 09:09
系统消息:动象论坛祝大家高考加油~
06-09 15:13
系统消息:各位坛友,由于“两会”封网原因,动象论坛服务中止了约一个星期,对于由此给您造成的麻烦我们感到万分抱歉。
03-18 23:04
admin动象论坛在这里祝大家2024龙年新年快乐~
02-09 14:58
系统消息:论坛端口问题已经解决~您可以直接访问论坛域名mcmc.ltd(www.mcmc.ltd)啦~(Tips:如访问时提示“连接被重置”报错,请清空您的DNS缓存与浏览器缓存。)
02-05 19:14
系统消息:论坛预计今天晚间将端口问题修复完成,请留意论坛动态,感谢您对动象论坛的支持~
02-05 14:06
系统消息:动象论坛目前正在紧急迁移服务器,目前请您先访问https://mcmc.ltd:150。论坛正在全力找CDN以修复端口问题,由此给您造成影响亿常抱歉。。
02-05 11:23
系统消息:动象论坛祝大家2024年新年快乐吖~祝大家前路浩浩荡荡,万事皆可期待~
12-31 22:41
系统消息:动象论坛拟于7月20日至7月21日进行服务器迁移和域名更换,届时论坛服务将暂时不可用。对此给您带来的麻烦,我们感到十分抱歉。
07-18 19:51
Mozillahello world
07-04 17:39
系统消息:高考倒计时2天!动象论坛祝大家2023高考完胜!加油!!!!!!
06-04 23:44
神秘人:
03-21 07:20
系统消息:向各位论坛坛友公开一下,我们现在吸收了@luoying2334 为论坛管理团队成员,管理讨论区、软件分享区和得闲饮茶区。如您有任何质疑,请您在【意见与建议】版块发帖,感谢您的支持~
03-20 23:23
admin论坛没啥人气啊emmm,欢迎大家来推荐退荐~
03-12 22:34
02-05 11:11
luoying2334给我学狗叫啊,三回啊三回
02-05 11:11
Civilmafia追尾黑色高级车
02-04 14:27
查看: 435|回复: 0

Oracle iPlanet Web服务器中披露的数据泄露、网络钓鱼安全漏洞

[复制链接]

64

主题

59

回帖

2565

积分

飘然归隐

积分
2565

最佳新人灌水之王

发表于 2020-5-11 18:55:44 | 显示全部楼层 |阅读模式 IP:广东
研究人员披露了一组影响到Oracle的iPlanet Web服务器的漏洞。
- j, I( J7 N% l3 ^7 M) c1 C. n  D6 a( k6 D1 I" }
该安全漏洞被追踪为CVE-2020-9315和CVE-2020-9314,该安全漏洞允许敏感数据暴露和有限的注入攻击。
  E8 v( M  d2 ?( V+ P: x; Y' l( }6 }+ y% _
该问题最早由Nightwatch网络安全研究人员于2020年1月19日发现,是在企业服务器管理系统的Web管理控制台中发现的。: F$ C* N; `) C

/ m7 @. `9 b0 W4 KCVE-2020-9315允许在没有认证的情况下,通过简单地替换目标页面的管理界面URL,读取控制台内的任何页面。研究人员表示,这个漏洞可能导致敏感数据泄露,包括配置信息和加密密钥。3 S& @, b  j) O4 O8 a# I0 i
$ E: |7 ~# J# Y6 R% R/ Z
第二个安全漏洞CVE-2020-9314,是在控制台的 "productNameSrc "参数中发现的。对CVE-2012-0516的不完整修复,这是一个包含XSS验证问题的 "未指定的 "安全问题,它允许该参数与 "productNameHeight "和 "productNameWidth "参数一起被滥用,用于向域中注入图像,以达到网络钓鱼和社会工程的目的。
& [) [8 A" g7 _1 ]" X
& h# L0 m4 n/ C2 F5 W4 i0 [8 LOracle iPlanet Web Server 7.0.x容易受到这些问题的影响,但不知道该应用的早期版本是否也会受到影响。研究人员表示,最新版本的Oracle Glassfish和Eclipse Glassfish与iPlanet "共享共同代码",但它们 "似乎并不存在漏洞。"
& |3 k- q8 N* O" U; g. E! E: r$ C6 a/ \1 @3 I" ^- M0 S' R8 a7 C3 t
由于iPlanet Web Server 7.0.x是一个遗留产品,不再受Oracle的支持(.PDF),因此没有计划发布安全修复方案。" b3 |' H3 k$ Z+ S4 t# f+ @

* Q1 H. J$ ^9 `) b2 ^& a5 t"由于甲骨文公司不再支持Oracle iPlanet Web Server 7.0.x,因此公司的政策是,没有涉及甲骨文的协调披露。"该公司表示。"报告人如果发现甲骨文不再支持的产品存在安全漏洞,可以在没有甲骨文参与的情况下自由披露漏洞细节。"
7 R% C' u4 M/ l0 p( p' t9 d, t' J
7 X' j: Q9 j$ D2 R. x7 W1 i如果企业仍然在使用这种遗留的软件,建议采取其他控制措施来降低被利用的风险,比如限制网络访问 -- 或者进行升级。8 t6 t- C2 r4 V

  L4 J' u! C: S$ v" H$ @) {, [在发现后,研究人员最初于1月24日向思科公司发送了他们的发现。由于产品不再支持,这家科技巨头两次拒绝了报告,但安全漏洞仍被转交给MITRE进行CVE分配。到2月2日,该机构已经分配了CVE编号,导致5月份公开披露。
1 G- h/ |, @( w8 f' k- S; n! d% L" n7 p
+ y1 b/ P( h. F% }# n- a8 @几个月前,思科公司披露并修复了十几个影响自适应安全设备(ASA)和Firepower威胁防御(FTD)软件套件的高危漏洞
  a+ i. K$ X+ m* y+ e2 P: A2 p
. {/ q6 |4 _8 N& r4 q$ Q# ?总共修复了八个拒绝服务漏洞、一个内存泄漏问题、一个路径穿越问题和一个身份验证绕过漏洞 -- 其中最严重的漏洞获得了9.1分的CVSS评分。
& v% J" P) h; m1 @; v
7 q" w0 O- D0 p/ _) ]ZDNet已经联系到思科,我们将在收到消息后及时更新。! W* N' T% B+ G/ P* M
[我是一个默认签名,快去设置里设置一个个性签名吧(*^ワ^*)] 动象论坛欢迎您!(´∇ノ`*)ノ
您需要登录后才可以回帖 登录 | 立即注册!

*滑块验证:
img_loading
智能检测中
本版积分规则

QQ|手机版|小黑屋|网站地图|动象论坛

GMT+8, 2025-2-24 22:03 , Processed in 0.346309 second(s), 30 queries , Gzip On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表