아이플래닛
아이플래닛(iPlanet)은 미국 오라클 회사가 제공하는 웹서버 제품이다. 미국 썬 마이크로시스템즈가 개발했고, 썬원(SUN one)으로 불리기도 했다. 2010년 오라클에 인수되었다.
개요
오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server)는 가장 널리 사용되고 대규모 사이트에서 이미 입증된 상용의 가장 빠른 성능의 웹 서버이다. Oracle iPlanet Web Server는 GUI 기반의 관리 툴을 통해 다수의 인스턴스 관리 및 구성을 편리하게 수행하도록 하며, Clustering 기능을 통한 확장성 및 페일 오버를 제공함으로써 대규모 웹 시스템에 최적화된 환경을 제공한다. [1]
역사
- 넷 사이트(Net Site) 1.0 (1994 년 12월 15일 출시)
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 2.0 (1996년 3월 5일 출시)
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 2.0.1 (1996 년 11월 출시)
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.0 (1997 년 6월 출시)
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.0.1
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.5 (1998 년 2월 출시)
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.5.1
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.6 (1999 년 1월 11일 출시)
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.6 SP1
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.6 SP2
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.6 SP3
- 아이플래닛 웹 서버(iPlanet Web Server) 4.0 (1999년 9월 출시) ~ 아이플래닛 웹 서버(iPlanet Web Server) 4.1 SP9
- 썬 원 웹 서버(Sun ONE Web Server) 4.1 SP10 ~ 썬 원 웹 서버(Sun ONE Web Server) 4.1 SP15
- 아이플래닛 웹 서버(iPlanet Web Server) 6.0 (2001년 11월 19일 출시) ~ 아이플래닛 웹 서버(iPlanet Web Server) 6.0 SP2
- 썬 원 웹 서버(Sun ONE Web Server) 6.0 SP3 ~ 썬 원 웹 서버(Sun ONE Web Server) 6.1 SP3
- 썬 자바 시스템 웹 서버(Sun Java System Web Server) 6.1 SP4 ~ 썬 자바 시스템 웹 서버(Sun Java System Web Server) 6.1 SP13
- 오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server) 6.1 SP14 ~ 오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server) 6.1 SP21
- 썬 자바 시스템 웹 서버(Sun Java System Web Server) 7.0 ~ 썬 자바 시스템 웹 서버(Sun Java System Web Server) 7.0 업데이트 8
- 오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server) 7.0.9 ~ 오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server) 7.0.27 (2018년 03월 출시)
특징
단점
CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있다. 해당 취약점들은 2020년 1월 19일에 나이트워치 사이버보안(Nightwatch Cybersecurity) 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할 수 있다. 연구원들은 해당 결함을 악용할 경우 구성 정보, 암호화 키 등을 포함한 중요 정보를 유출시킬 수 있습니다고 설명했다. 두 번째 취약점(CVE-2020-9314)은 콘솔의 "productNameSrc" 파라미터에서 발견되었으며, XSS 유효성 검사 문제를 포함하는 보안 취약점 CVE-2012-0516에 대한 불완전 패치를 통해 해당 파라미터를 악용할 수 있다. 이때 피싱과 소셜 엔지니어링 목적으로 도메인에 이미지를 삽입하기 위해 "productNameHeight" 및 "productNameWidth" 파라미터를 함께 사용한다. 오라클 아이플래닛(Oracle iPlanet) 웹 서버 7.0.x 버전은 해당 결함에 취약하지만, 이전 버전의 애플리케이션들이 영향을 받는지는 아직 확인되지 않았다. 연구원들의 설명에 따르면, 오라클 글래스피쉬(Oracle Glassfish) 및 이클립스 글래스피쉬(Eclipse Glassfish) 최신 버전은 아이플래닛(iPlanet)과 코드가 동일하긴 하나 취약한 것으로 보이지는 않다. Oracle iPlanet 웹 서버 7.0.x는 레거시 제품이며 더 이상 오라클(Oracle)에서 지원되지 않는다. 그러므로 해당 취약점들에 대한 패치 계획도 없다. [2]
각주
- ↑ 두준두준, 〈Iplanet Web Server〉, 《네이버 블로그》, 2017-03-23
- ↑ 알약(Alyac), 〈Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점〉, 《알약블로그》, 2020-05-12
참고자료
- 두준두준, 〈Iplanet Web Server〉, 《네이버 블로그》, 2017-03-23
- 알약(Alyac), 〈Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점〉, 《알약블로그》, 2020-05-12
같이 보기