의견.png

"아이플래닛"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
(개요)
11번째 줄: 11번째 줄:
 
==특징==
 
==특징==
 
===단점===
 
===단점===
CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있다. 해당 취약점들은 2020년 1월 19일에 Nightwatch Cybersecurity 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할 수 있다. 연구원들은 해당 결함을 악용할 경우 구성 정보, 암호화 키 등을 포함한 중요 정보를 유출시킬 수 있습니다고 설명했다. 두 번째 취약점(CVE-2020-9314)은 콘솔의 "productNameSrc" 파라미터에서 발견되었으며, XSS 유효성 검사 문제를 포함하는 보안 취약점 CVE-2012-0516에 대한 불완전 패치를 통해 해당 파라미터를 악용할 수 있다. 이때 피싱과 소셜 엔지니어링 목적으로 도메인에 이미지를 삽입하기 위해 "productNameHeight" 및 "productNameWidth" 파라미터를 함께 사용한다. Oracle iPlanet 웹 서버 7.0.x 버전은 해당 결함에 취약하지만, 이전 버전의 애플리케이션들이 영향을 받는지는 아직 확인되지 않았다. 연구원들의 설명에 따르면, Oracle Glassfish 및 Eclipse Glassfish 최신 버전은 iPlanet과 코드가 동일하긴 하나 취약한 것으로 보이지는 않다. Oracle iPlanet 웹 서버 7.0.x는 레거시 제품이며 더 이상 Oracle에서 지원되지 않는다. 그러므로 해당 취약점들에 대한 패치 계획도 없다. <ref> 알약, 〈[https://blog.alyac.co.kr/2970 Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점]〉, 《이스트씨큐리티알약블로그》, 2020-05-12</ref>
+
CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있다. 해당 취약점들은 2020년 1월 19일에 나이트워치 사이버보안(Nightwatch Cybersecurity) 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할 수 있다. 연구원들은 해당 결함을 악용할 경우 구성 정보, 암호화 키 등을 포함한 중요 정보를 유출시킬 수 있습니다고 설명했다. 두 번째 취약점(CVE-2020-9314)은 콘솔의 "productNameSrc" 파라미터에서 발견되었으며, XSS 유효성 검사 문제를 포함하는 보안 취약점 CVE-2012-0516에 대한 불완전 패치를 통해 해당 파라미터를 악용할 수 있다. 이때 피싱과 소셜 엔지니어링 목적으로 도메인에 이미지를 삽입하기 위해 "productNameHeight" 및 "productNameWidth" 파라미터를 함께 사용한다. 오라클 아이플래닛(Oracle iPlanet) 웹 서버 7.0.x 버전은 해당 결함에 취약하지만, 이전 버전의 애플리케이션들이 영향을 받는지는 아직 확인되지 않았다. 연구원들의 설명에 따르면, 오라클 글래스피쉬(Oracle Glassfish) 이클립스 글래스피쉬(Eclipse Glassfish) 최신 버전은 아이플래닛(iPlanet)과 코드가 동일하긴 하나 취약한 것으로 보이지는 않다. Oracle iPlanet 웹 서버 7.0.x는 레거시 제품이며 더 이상 오라클(Oracle)에서 지원되지 않는다. 그러므로 해당 취약점들에 대한 패치 계획도 없다. <ref> 알약(Alyac), 〈[https://blog.alyac.co.kr/2970 Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점]〉, 《알약블로그》, 2020-05-12</ref>
  
 
{{각주}}
 
{{각주}}
17번째 줄: 17번째 줄:
 
==참고자료==
 
==참고자료==
 
* 두준두준, 〈[https://m.blog.naver.com/PostView.nhn?blogId=kpop4472&logNo=220965347468&categoryNo=11&proxyReferer=https:%2F%2Fwww.google.com%2F Iplanet Web Server]〉, 《네이버 블로그》, 2017-03-23
 
* 두준두준, 〈[https://m.blog.naver.com/PostView.nhn?blogId=kpop4472&logNo=220965347468&categoryNo=11&proxyReferer=https:%2F%2Fwww.google.com%2F Iplanet Web Server]〉, 《네이버 블로그》, 2017-03-23
* 알약, 〈[https://blog.alyac.co.kr/2970 Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점]〉, 《이스트씨큐리티알약블로그》, 2020-05-12
+
* 알약(Alyac), 〈[https://blog.alyac.co.kr/2970 Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점]〉, 《알약블로그》, 2020-05-12
  
 
== 같이 보기 ==
 
== 같이 보기 ==

2020년 8월 5일 (수) 10:49 판

아이플래닛(iPlanet)
아이플래닛(iPlanet)

아이플래닛(iPlanet)은 미국 오라클 회사가 제공하는 웹서버 제품이다. 미국 썬 마이크로시스템즈가 개발했고, 썬원(SUN one)으로 불리기도 했다. 2010년 오라클에 인수되었다.

개요

오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server)는 가장 널리 사용되고 대규모 사이트에서 이미 입증된 상용의 가장 빠른 성능의 웹 서버이다. Oracle iPlanet Web Server는 GUI 기반의 관리 툴을 통해 다수의 인스턴스 관리 및 구성을 편리하게 수행하도록 하며, Clustering 기능을 통한 확장성 및 페일 오버를 제공함으로써 대규모 웹 시스템에 최적화된 환경을 제공한다. [1]

등장배경

특징

단점

CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있다. 해당 취약점들은 2020년 1월 19일에 나이트워치 사이버보안(Nightwatch Cybersecurity) 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할 수 있다. 연구원들은 해당 결함을 악용할 경우 구성 정보, 암호화 키 등을 포함한 중요 정보를 유출시킬 수 있습니다고 설명했다. 두 번째 취약점(CVE-2020-9314)은 콘솔의 "productNameSrc" 파라미터에서 발견되었으며, XSS 유효성 검사 문제를 포함하는 보안 취약점 CVE-2012-0516에 대한 불완전 패치를 통해 해당 파라미터를 악용할 수 있다. 이때 피싱과 소셜 엔지니어링 목적으로 도메인에 이미지를 삽입하기 위해 "productNameHeight" 및 "productNameWidth" 파라미터를 함께 사용한다. 오라클 아이플래닛(Oracle iPlanet) 웹 서버 7.0.x 버전은 해당 결함에 취약하지만, 이전 버전의 애플리케이션들이 영향을 받는지는 아직 확인되지 않았다. 연구원들의 설명에 따르면, 오라클 글래스피쉬(Oracle Glassfish) 및 이클립스 글래스피쉬(Eclipse Glassfish) 최신 버전은 아이플래닛(iPlanet)과 코드가 동일하긴 하나 취약한 것으로 보이지는 않다. Oracle iPlanet 웹 서버 7.0.x는 레거시 제품이며 더 이상 오라클(Oracle)에서 지원되지 않는다. 그러므로 해당 취약점들에 대한 패치 계획도 없다. [2]

각주

  1. 두준두준, 〈Iplanet Web Server〉, 《네이버 블로그》, 2017-03-23
  2. 알약(Alyac), 〈Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점〉, 《알약블로그》, 2020-05-12

참고자료

같이 보기


  의견.png 이 아이플래닛 문서는 소프트웨어에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.