Fuga de datos, fallas de seguridad de phishing reveladas en Oracle iPlanet World wide web Server


Los investigadores han revelado un conjunto de vulnerabilidades que afectan el servidor world-wide-web iPlanet de Oracle.

Rastreadas como CVE-2020-9315 y CVE-2020-9314, las fallas de seguridad permiten la exposición de datos confidenciales y ataques de inyección limitados.

Primero descubierto por Investigadores de ciberseguridad de Nightwatch el 19 de enero de 2020, los problemas se encontraron en la consola de administración world wide web del sistema de administración del servidor empresarial.

Ver también: Cisco: estos 12 errores de alta gravedad en el software program de seguridad ASA y Firepower necesitan parches

CVE-2020-9315 permite la lectura de cualquier página dentro de la consola, sin autenticación, simplemente reemplazando una URL de la GUI del administrador para la página de destino. Los investigadores dicen que este error podría provocar la fuga de datos confidenciales, incluida la información de configuración y las claves de cifrado.

El segundo defecto de seguridad, CVE-2020-9314, se descubrió en el parámetro «productNameSrc» de la consola. Una solución incompleta para CVE-2012-0516, Un problema de seguridad &#39no especificado&#39 que contiene problemas de validación XSS, permitió que este parámetro fuera abusado junto con los parámetros «productNameHeight» y «productNameWidth» para la inyección de imágenes en un dominio con fines de phishing e ingeniería social.

Oracle iPlanet Website Server 7..x es vulnerable a estos problemas, pero no se sabe si las versiones anteriores de la aplicación también se ven afectadas. Los investigadores dicen que las últimas versiones de Oracle Glassfish y Eclipse Glassfish «comparten código común» con iPlanet, pero que «no parecen ser vulnerables».

Como iPlanet Web Server 7..x es un producto heredado y es ya no es suitable (.PDF) de Oracle, no hay planes para emitir correcciones de seguridad.

CNET: ¿Comprar un viejo teléfono Android? Lo que debes saber sobre privacidad y seguridad

«Dado que Oracle ya no es appropriate con Oracle iPlanet Website Server 7..x, la política es que no hay una divulgación coordinada que involucre a Oracle», dijo la compañía. «Los reporteros que descubren vulnerabilidades de seguridad en productos que Oracle ya no admite son libres de revelar detalles de vulnerabilidad sin la participación de Oracle».

Si las organizaciones aún usan este software package heredado, se recomienda que se establezcan otros controles para mitigar el riesgo de explotación, como restringir el acceso a la crimson o realizar una actualización.

Tras los descubrimientos, los investigadores enviaron inicialmente sus hallazgos a Cisco el 24 de enero. El gigante tecnológico rechazó los informes dos veces ya que el producto ya no es appropriate, pero las fallas de seguridad aún se remitieron a MITRE para la asignación de CVE. Para el 2 de febrero, la agencia había asignado números CVE, lo que llevó a la divulgación pública en mayo.

TechRepublic: 5 cosas que los desarrolladores deben saber sobre la privacidad y seguridad de los datos

Hace varios meses, Cisco reveló y solucionó una docena de vulnerabilidades de alta gravedad que afectaban a las suites de software Adaptive Safety Appliance (ASA) y Firepower Risk Defense (FTD).

En whole, se repararon ocho errores de denegación de servicio, un problema de pérdida de memoria, un problema de recorrido de ruta y una vulnerabilidad de omisión de autenticación, la más severa obteniendo una puntuación CVSS de 9.1.

ZDNet se ha comunicado con Cisco y se actualizará cuando regresemos.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia authentic