"아이플래닛"의 두 판 사이의 차이

2020년 8월 5일 (수) 10:49 판

아이플래닛(iPlanet)

아이플래닛(iPlanet)은 미국 오라클 회사가 제공하는 웹서버 제품이다. 미국 썬 마이크로시스템즈가 개발했고, 썬원(SUN one)으로 불리기도 했다. 2010년 오라클에 인수되었다.

개요

오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server)는 가장 널리 사용되고 대규모 사이트에서 이미 입증된 상용의 가장 빠른 성능의 웹 서버이다. Oracle iPlanet Web Server는 GUI 기반의 관리 툴을 통해 다수의 인스턴스 관리 및 구성을 편리하게 수행하도록 하며, Clustering 기능을 통한 확장성 및 페일 오버를 제공함으로써 대규모 웹 시스템에 최적화된 환경을 제공한다. ^[1]

등장배경

특징

단점

CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있다. 해당 취약점들은 2020년 1월 19일에 나이트워치 사이버보안(Nightwatch Cybersecurity) 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할 수 있다. 연구원들은 해당 결함을 악용할 경우 구성 정보, 암호화 키 등을 포함한 중요 정보를 유출시킬 수 있습니다고 설명했다. 두 번째 취약점(CVE-2020-9314)은 콘솔의 "productNameSrc" 파라미터에서 발견되었으며, XSS 유효성 검사 문제를 포함하는 보안 취약점 CVE-2012-0516에 대한 불완전 패치를 통해 해당 파라미터를 악용할 수 있다. 이때 피싱과 소셜 엔지니어링 목적으로 도메인에 이미지를 삽입하기 위해 "productNameHeight" 및 "productNameWidth" 파라미터를 함께 사용한다. 오라클 아이플래닛(Oracle iPlanet) 웹 서버 7.0.x 버전은 해당 결함에 취약하지만, 이전 버전의 애플리케이션들이 영향을 받는지는 아직 확인되지 않았다. 연구원들의 설명에 따르면, 오라클 글래스피쉬(Oracle Glassfish) 및 이클립스 글래스피쉬(Eclipse Glassfish) 최신 버전은 아이플래닛(iPlanet)과 코드가 동일하긴 하나 취약한 것으로 보이지는 않다. Oracle iPlanet 웹 서버 7.0.x는 레거시 제품이며 더 이상 오라클(Oracle)에서 지원되지 않는다. 그러므로 해당 취약점들에 대한 패치 계획도 없다. ^[2]

각주

↑ 두준두준, 〈Iplanet Web Server〉, 《네이버 블로그》, 2017-03-23
↑ 알약(Alyac), 〈Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점〉, 《알약블로그》, 2020-05-12

참고자료

두준두준, 〈Iplanet Web Server〉, 《네이버 블로그》, 2017-03-23
알약(Alyac), 〈Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점〉, 《알약블로그》, 2020-05-12

같이 보기

이 아이플래닛 문서는 소프트웨어에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.

개발 : 프로그래밍, 소프트웨어^□^■^⊕, 데이터, 솔루션, 보안, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

운영체제(OS)	데비안 • 도스(DOS) • 레드햇 리눅스(RHEL) • 리눅스 • 맥OS • 붉은별 • 비에스디(BSD) • 센트오에스(CentOS) • 솔라리스 • 아이오에스(iOS) • 안드로이드 • 에이아이엑스(AIX) • 엑스윈도우 • 엠에스도스(MS-DOS) • 오에스투(OS/2) • 우분투 • 운영체제(OS) • 윈도우 • 유닉스 • 유오에스(UOS) • 지엔유(GNU) • 타이젠 • 티맥스오에스 • 페도라 • 프리비에스디(FreeBSD)

웹서버	구글 웹서버 • 아이아이에스(IIS) • 아이플래닛 • 아파치 웹서버 • 엔진엑스 • 웹투비 • 웹티어

와스(WAS)	글래스피시 • 레진 • 와스서버 • 와일드플라이(제이보스) • 웹로직 • 웹스피어 • 제우스 • 톰캣

소프트웨어 개발 도구	JDK • SDK • 나모 웹에디터 • 넷빈즈 • 델파이 • 드림위버 • 메이븐 • 비주얼 스튜디오 • 안드로이드 스튜디오 • 알스튜디오 • 앱타나 스튜디오 • 엑스코드 • 이알윈(ERWin) • 이클립스 • 인텔리제이 아이디어 • 코드블럭스 • 통합개발환경(IDE) • 파워빌더 • 파이참

버전관리 도구	깃 • 깃허브 • 버전 • 버전관리 • 분산버전관리 • 서브버전(SVN) • 서브클립스 • 젠킨스 • 토터스SVN • 형상관리(구성관리)

성능관리 솔루션	로드러너 • 밸리데이터 • 스트로버스 • 시스마스터 • 엔그라인더 • 제니퍼 • 제이미터 • 지티메트릭스 • 쿨체크

소프트웨어	BaaS • CaaS • DaaS • FaaS • IaaS • NaaS • OaaS • PaaS • QaaS • RaaS • SaaS • SECaaS • UaaS • XaaS • 가상머신 • 개발 툴 • 내그웨어 • 다운그레이드 • 도네이션웨어 • 도커 • 레거시 시스템 • 레지스트리 • 로컬호스트 • 리팩토링 • 미들웨어 • 상용 소프트웨어 • 서버 • 셰어웨어 • 셸 • 소프트웨어 • 소프트웨어 개발 • 소프트웨어 툴 • 시스템 • 시스템 소프트웨어 • 실서버 • 업그레이드 • 업데이트 • 에뮬레이션 • 에뮬레이터 • 오픈소스 • 응용 소프트웨어 • 자바 가상머신 • 자유 소프트웨어 • 커널 • 컴퓨터과학 • 크로스 플랫폼 • 크리플웨어 • 테스트 툴 • 툴 • 툴킷 • 트라이얼웨어 • 패치 • 패키지 소프트웨어 • 프로세스 • 플랫폼 • 플러그인 • 프리웨어

위키 : 자동차, 교통, 지역, 지도, 산업, 기업, 단체, 업무, 생활, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[1] 두준두준, 〈Iplanet Web Server〉, 《네이버 블로그》, 2017-03-23

[2] 알약(Alyac), 〈Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점〉, 《알약블로그》, 2020-05-12

[1]

[2]

@@ 11번째 줄: / 11번째 줄: @@
 ==특징==
 ===단점===
-CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있다.  해당 취약점들은 2020년 1월 19일에 Nightwatch Cybersecurity 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할 수 있다. 연구원들은 해당 결함을 악용할 경우 구성 정보, 암호화 키 등을 포함한 중요 정보를 유출시킬 수 있습니다고 설명했다. 두 번째 취약점(CVE-2020-9314)은 콘솔의 "productNameSrc" 파라미터에서 발견되었으며, XSS 유효성 검사 문제를 포함하는 보안 취약점 CVE-2012-0516에 대한 불완전 패치를 통해 해당 파라미터를 악용할 수 있다. 이때 피싱과 소셜 엔지니어링 목적으로 도메인에 이미지를 삽입하기 위해 "productNameHeight" 및 "productNameWidth" 파라미터를 함께 사용한다. Oracle iPlanet 웹 서버 7.0.x 버전은 해당 결함에 취약하지만, 이전 버전의 애플리케이션들이 영향을 받는지는 아직 확인되지 않았다. 연구원들의 설명에 따르면, Oracle Glassfish 및 Eclipse Glassfish 최신 버전은 iPlanet과 코드가 동일하긴 하나 취약한 것으로 보이지는 않다. Oracle iPlanet 웹 서버 7.0.x는 레거시 제품이며 더 이상 Oracle에서 지원되지 않는다. 그러므로 해당 취약점들에 대한 패치 계획도 없다. <ref> 알약, 〈[https://blog.alyac.co.kr/2970 Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점]〉, 《이스트씨큐리티알약블로그》, 2020-05-12</ref>
+CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있다. 해당 취약점들은 2020년 1월 19일에 나이트워치 사이버보안(Nightwatch Cybersecurity) 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할 수 있다. 연구원들은 해당 결함을 악용할 경우 구성 정보, 암호화 키 등을 포함한 중요 정보를 유출시킬 수 있습니다고 설명했다. 두 번째 취약점(CVE-2020-9314)은 콘솔의 "productNameSrc" 파라미터에서 발견되었으며, XSS 유효성 검사 문제를 포함하는 보안 취약점 CVE-2012-0516에 대한 불완전 패치를 통해 해당 파라미터를 악용할 수 있다. 이때 피싱과 소셜 엔지니어링 목적으로 도메인에 이미지를 삽입하기 위해 "productNameHeight" 및 "productNameWidth" 파라미터를 함께 사용한다. 오라클 아이플래닛(Oracle iPlanet) 웹 서버 7.0.x 버전은 해당 결함에 취약하지만, 이전 버전의 애플리케이션들이 영향을 받는지는 아직 확인되지 않았다. 연구원들의 설명에 따르면, 오라클 글래스피쉬(Oracle Glassfish) 및 이클립스 글래스피쉬(Eclipse Glassfish) 최신 버전은 아이플래닛(iPlanet)과 코드가 동일하긴 하나 취약한 것으로 보이지는 않다. Oracle iPlanet 웹 서버 7.0.x는 레거시 제품이며 더 이상 오라클(Oracle)에서 지원되지 않는다. 그러므로 해당 취약점들에 대한 패치 계획도 없다. <ref> 알약(Alyac), 〈[https://blog.alyac.co.kr/2970 Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점]〉, 《알약블로그》, 2020-05-12</ref>
 {{각주}}
@@ 17번째 줄: / 17번째 줄: @@
 ==참고자료==
 * 두준두준, 〈[https://m.blog.naver.com/PostView.nhn?blogId=kpop4472&logNo=220965347468&categoryNo=11&proxyReferer=https:%2F%2Fwww.google.com%2F Iplanet Web Server]〉, 《네이버 블로그》, 2017-03-23
-* 알약, 〈[https://blog.alyac.co.kr/2970 Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점]〉, 《이스트씨큐리티알약블로그》, 2020-05-12
+* 알약(Alyac), 〈[https://blog.alyac.co.kr/2970 Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점]〉, 《알약블로그》, 2020-05-12
 == 같이 보기 ==

위키원

이름공간

변수

보기

더 보기

검색

"아이플래닛"의 두 판 사이의 차이

2020년 8월 5일 (수) 10:49 판

목차

개요

등장배경

특징

단점

각주

참고자료

같이 보기