"아이플래닛"의 두 판 사이의 차이
잔글 (→같이 보기) |
|||
3번째 줄: | 3번째 줄: | ||
'''아이플래닛'''(iPlanet)은 미국 [[오라클 (회사)|오라클]] 회사가 제공하는 [[웹서버]] 제품이다. 미국 [[썬 마이크로시스템즈]]가 개발했고, '''썬원'''(SUN one)으로 불리기도 했다. 2010년 오라클에 인수되었다. | '''아이플래닛'''(iPlanet)은 미국 [[오라클 (회사)|오라클]] 회사가 제공하는 [[웹서버]] 제품이다. 미국 [[썬 마이크로시스템즈]]가 개발했고, '''썬원'''(SUN one)으로 불리기도 했다. 2010년 오라클에 인수되었다. | ||
+ | ==개요== | ||
+ | 오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server)는 가장 널리 사용되고 대규모 사이트에서 이미 입증된 상용의 가장 빠른 성능의 웹 서버입니다. Oracle iPlanet Web Server는 GUI 기반의 관리 툴을 통해 다수의 인스턴스 관리 및 구성을 편리하게 수행하도록 하며, Clustering 기능을 통한 확장성 및 페일 오버를 제공함으로써 대규모 웹 시스템에 최적화된 환경을 제공한다. <ref> 두준두준, 〈[https://m.blog.naver.com/PostView.nhn?blogId=kpop4472&logNo=220965347468&categoryNo=11&proxyReferer=https:%2F%2Fwww.google.com%2F Iplanet Web Server]〉, 《네이버 블로그》, 2017-03-23</ref> | ||
+ | ==등장배경== | ||
+ | ==특징== | ||
+ | ===단점=== | ||
+ | CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있다. 해당 취약점들은 2020년 1월 19일에 Nightwatch Cybersecurity 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할 수 있다. 연구원들은 해당 결함을 악용할 경우 구성 정보, 암호화 키 등을 포함한 중요 정보를 유출시킬 수 있습니다고 설명했다. 두 번째 취약점(CVE-2020-9314)은 콘솔의 "productNameSrc" 파라미터에서 발견되었으며, XSS 유효성 검사 문제를 포함하는 보안 취약점 CVE-2012-0516에 대한 불완전 패치를 통해 해당 파라미터를 악용할 수 있다. 이때 피싱과 소셜 엔지니어링 목적으로 도메인에 이미지를 삽입하기 위해 "productNameHeight" 및 "productNameWidth" 파라미터를 함께 사용한다. Oracle iPlanet 웹 서버 7.0.x 버전은 해당 결함에 취약하지만, 이전 버전의 애플리케이션들이 영향을 받는지는 아직 확인되지 않았다. 연구원들의 설명에 따르면, Oracle Glassfish 및 Eclipse Glassfish 최신 버전은 iPlanet과 코드가 동일하긴 하나 취약한 것으로 보이지는 않다. Oracle iPlanet 웹 서버 7.0.x는 레거시 제품이며 더 이상 Oracle에서 지원되지 않는다. 그러므로 해당 취약점들에 대한 패치 계획도 없다. <ref> 알약, 〈[https://blog.alyac.co.kr/2970 Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점]〉, 《이스트씨큐리티알약블로그》, 2020-05-12</ref> | ||
+ | |||
+ | {{각주}} | ||
+ | ==참고자료== | ||
+ | * 두준두준, 〈[https://m.blog.naver.com/PostView.nhn?blogId=kpop4472&logNo=220965347468&categoryNo=11&proxyReferer=https:%2F%2Fwww.google.com%2F Iplanet Web Server]〉, 《네이버 블로그》, 2017-03-23 | ||
+ | * 알약, 〈[https://blog.alyac.co.kr/2970 Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점]〉, 《이스트씨큐리티알약블로그》, 2020-05-12 | ||
== 같이 보기 == | == 같이 보기 == | ||
* [[오라클 (회사)]] | * [[오라클 (회사)]] |
2020년 8월 4일 (화) 17:50 판
아이플래닛(iPlanet)은 미국 오라클 회사가 제공하는 웹서버 제품이다. 미국 썬 마이크로시스템즈가 개발했고, 썬원(SUN one)으로 불리기도 했다. 2010년 오라클에 인수되었다.
개요
오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server)는 가장 널리 사용되고 대규모 사이트에서 이미 입증된 상용의 가장 빠른 성능의 웹 서버입니다. Oracle iPlanet Web Server는 GUI 기반의 관리 툴을 통해 다수의 인스턴스 관리 및 구성을 편리하게 수행하도록 하며, Clustering 기능을 통한 확장성 및 페일 오버를 제공함으로써 대규모 웹 시스템에 최적화된 환경을 제공한다. [1]
등장배경
특징
단점
CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있다. 해당 취약점들은 2020년 1월 19일에 Nightwatch Cybersecurity 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할 수 있다. 연구원들은 해당 결함을 악용할 경우 구성 정보, 암호화 키 등을 포함한 중요 정보를 유출시킬 수 있습니다고 설명했다. 두 번째 취약점(CVE-2020-9314)은 콘솔의 "productNameSrc" 파라미터에서 발견되었으며, XSS 유효성 검사 문제를 포함하는 보안 취약점 CVE-2012-0516에 대한 불완전 패치를 통해 해당 파라미터를 악용할 수 있다. 이때 피싱과 소셜 엔지니어링 목적으로 도메인에 이미지를 삽입하기 위해 "productNameHeight" 및 "productNameWidth" 파라미터를 함께 사용한다. Oracle iPlanet 웹 서버 7.0.x 버전은 해당 결함에 취약하지만, 이전 버전의 애플리케이션들이 영향을 받는지는 아직 확인되지 않았다. 연구원들의 설명에 따르면, Oracle Glassfish 및 Eclipse Glassfish 최신 버전은 iPlanet과 코드가 동일하긴 하나 취약한 것으로 보이지는 않다. Oracle iPlanet 웹 서버 7.0.x는 레거시 제품이며 더 이상 Oracle에서 지원되지 않는다. 그러므로 해당 취약점들에 대한 패치 계획도 없다. [2]
각주
- ↑ 두준두준, 〈Iplanet Web Server〉, 《네이버 블로그》, 2017-03-23
- ↑ 알약, 〈Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점〉, 《이스트씨큐리티알약블로그》, 2020-05-12
참고자료
- 두준두준, 〈Iplanet Web Server〉, 《네이버 블로그》, 2017-03-23
- 알약, 〈Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점〉, 《이스트씨큐리티알약블로그》, 2020-05-12
같이 보기