Oracle不打算修复这两个iPlanet信息泄漏和注入漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Oracle 不打算修复 iPlanet Web Server 中的两个网页敏感信息泄漏和注入漏洞CVE-2020-9315 和 CVE-2020-9314。它们存在于已到达生命周期且也不再受支持的 iPlanet 7 的管理面板中。
第一个漏洞 (CVE-2020-9315) 可导致在未认证情况下在管理面板中获得对任意网页的只读权限。
Nightwatch 安全团队发布文章指出,“这可导致服务器配置信息的敏感数据遭暴露,包括加密密钥、Java 虚拟机 (JVM) 配置数据和其它数据等。我们并未测试该漏洞是否可导致在面板内进行修改。”攻击者可以替换管理面板中任意页面的 URL。
第二个漏洞 (CVE-2020-9314) 源自控制面板中的 “productNameSrc” 参数,“但和 ‘productNameHeight’和 ‘productNameWidth’ 参数结合使用时,可导致将外部图像注入网站从而便于实施钓鱼攻击。这是因为 CVE-2012-0516 的修复方案不完整造成的。之前的修复方案增加了对 XSS 问题的验证,但并未增加对外部图像是否加载的验证。”
Oracle 回应漏洞报告时指出,“非常感谢您提交的 Oracle iPlanet Web Server7.0.x 漏洞报告。由于该产品不再受 Oracle 支持,因此根据相关策略Oracle不再协同披露。如果研究员从不再受 Oracle 支持的产品中发现安全漏洞,可在 Oracle 不再参与的情况下自行发布漏洞。”
Nightwatch 表示,即便如此,用户仍然可以执行其它控制缓解该漏洞,降低风险如限制互联网对管理面板的网络访问权限。Nightwatch 并未对之前版本进行测试。
推荐阅读
奇安信代码卫士帮助Oracle修复高危漏洞,获官方致谢
Oracle Coherence&WebLogic反序列化远程代码执行漏洞安全风险通告
原文链接
https://threatpost.com/unpatched-bugs-oracle-iplanet/155639/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~
Oracle不打算修复这两个iPlanet信息泄漏和注入漏洞相关推荐
- oracle 权限问题9017,泛微OA 曝出WorkflowCenterTreeData接口注入漏洞(限oracle数据库)
玄蜂安全团队10月10日了解到.泛微OA又双叒叕曝出了一个高危漏洞.其存在点是企业使用Oracle数据库在其系统的WorkflowCenterTreeData接口处会因为内置SQL语句拼接不严导致的一 ...
- 思科不打算修复SMB路由器中严重的认证绕过漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科SMB路由器中存在两个严重的漏洞(CVE-2023-20025和CVE-2023-20026),可导致未认证攻击者完全控制目标设备,以roo ...
- linux mint 屏保_Linux Mint 修复了两个孩子发现的屏保锁定绕过漏洞
Linux Mint 修复了两个孩子发现的屏保锁定绕过漏洞 据 zdnet 报道,两个孩子在爸爸的电脑上玩耍时,意外发现了绕过屏保,进入锁定系统的方法.根据 bug 报告,这两个孩子在物理键盘和屏幕键 ...
- 汤加近海处电缆或已断裂 修复需两周以上!淡水成最紧俏资源!
据新西兰先驱报17日报道,在汤加周六遭遇水下火山大规模喷发后,全境"失联".经过相关通讯公司评估,几乎可以确定海底喷发确实导致连接汤加与外界的电缆断裂--而且修复可能需要大约两周或 ...
- Oracle中用一个序列给两个表创建主键自增功能的后果
前几天在创建数据表时,想偷个懒,使用一个序列给两个表创建主键自增功能,结果...... 情景: 为宠物中心创建一个简单的数据库,要求如下: 1.创建一个主人表,字段:主人编号,主人姓名,主人性别,主人 ...
- ftp无法与服务器建立连接_建立与Oracle数据库服务器连接的两种连接模式
建立与Oracle数据库服务器连接的两种连接模式(专用服务器与共享服务器) 在建立Oracle数据库的时候,应该会在数据库建立助手向导上面看到这么一个选项,就是数据库的连接模式采用什么方式.在Orac ...
- oracle gather trace,Oracle 12C R2-新特性-新增两个视图:方便查看trace文件和内容
Oracle 12C R2-新特性-新增两个试图-方便查看trace文件和内容 在12.2中,Oracle新增了两个V$DIAG_TRACE_FILE and V$DIAG_TRACE_FILE_CO ...
- 30美元攻陷Intel SGX enclave,Intel 不打算修复
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 英国伯明翰大学的研究人员发现了另外一种攻陷 Intel SGX 安全enclave 机密性的方法.而 Intel SGX 安全 enc ...
- oracle 两种优化器,Oracle的优化器有两种优化方式(一)
Oracle的优化器有两种优化方式(整理), 2010-04-13 RBO方式:基于规则的优化方式(Rule-Based Optimization,简称为RBO) 优化器在分析SQL语句时,所遵循的 ...
最新文章
- dockefile nginx php,dockerfile自动部署nginx+php7
- 魔兽世界服务器位面 稳定,因抗议《魔兽世界》位面技术在RP服务器中被取消
- Navicat连接MySQL,出现2059 - authentication plugin ‘caching_sha2_password‘的解决方案
- Android Activity和Fragment的转场动画
- 通过构造函数来创建新对象
- python网页版_经典python学习教程:20行代码打造一个微信群聊助手,解放双手
- 前端学习(2507):初始化多个实例化对象
- Keil 中的预处理命令const
- java awt文件上传_springMVC实现前台带进度条文件上传的示例代码
- php html中的判断,php包含_php 判断字符串是否包含html标签
- oracle的merge into 的用法
- Installshield停止操作系统进程的代码 --IS6及以上版本适用
- 「2020目标一」项目管理PMP
- 音视频中的码率控制(CBR、VBR、CVBR、FIXQP)
- 生产环境服务端报错:阿里云IOT连接中断
- Android -- 广播
- 【阿里云】云服务器ECS怎么一键重装系统
- 前端使用xlsx、file-saver实现自定义excel格式导出(列宽、字体、边框、行高)
- 【ROS小车课设】虚拟机端编译riki工作空间问题解决
- [pinyin4j] java版汉字转换拼音(大小写)