아이플래닛
아이플래닛(iPlanet)은 미국 오라클 회사가 제공하는 웹서버 제품이다. 미국 썬 마이크로시스템즈가 개발했고, 썬원(SUN one)으로 불리기도 했다. 2010년 오라클에 인수되었다.
개요
오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server)는 가장 널리 사용되고 대규모 사이트에서 이미 입증된 상용의 가장 빠른 성능의 웹 서버이다. Oracle iPlanet Web Server는 GUI 기반의 관리 툴을 통해 다수의 인스턴스 관리 및 구성을 편리하게 수행하도록 하며, Clustering 기능을 통한 확장성 및 페일 오버를 제공함으로써 대규모 웹 시스템에 최적화된 환경을 제공한다. 또한 고성능의 풍부한 확장성을 제공하는 웹서버 소프트웨어로 대규모 웹 사이트 관리 및 전사적 웹 응용 프로그램의 개발 및 운용을 위한 이상적인 플랫폼을 제공한다. 인트라넷, 익스트라넷, 인터넷에서의 비즈니스-크리티컬한 정보 및 응용 프로그램의 전초적인 게이트웨이 역할을 하는 오라클 아이플래닛 웹 서버는 대규모 사용자의 방문을 호스팅하는 웹 사이트 구축에 필요한 성능및 확장성을 제공하며, 또한 전사적 관리성과 보안을 위해 사이트 생성과 관리 서비스를 통합하며, 강력한 응용 프로그램 서버 통합 기능을 제공한다.[1]
- 오라클 아이플래닛 프록시 서버(Oracle iPlanet Proxy Server, Java System Web Proxy Server)
- 캐싱 및 필터링을 위한 고성능 서버 소프트웨어이다. 전자 상거래 솔루션, 기업 고객 또는 인터넷 서비스 제공 업체를 위한 웹 컨텐츠이기도 하다. 자주 액세스하는 문서를 지능적으로 캐싱하여 주문형 캐싱을 제공한다. 이 복제 모델은 네트워크 대역폭과 클라이언트 응답 시간을 줄인다. 오라클 아이플래닛 프록시 서버도 네트워크 관리자가 네트워크 리소스 사용에 대한 세밀한 제어를 유지할 수 있다. 사용자 또는 문서별로 특정 사이트에 대한 액세스를 차단한다. 네트워크 정체 및 응답 시간이 느리고 네트워크 리소스를 제어 할 수 있다. 최종 사용자 나 네트워크 관리자에게 부담을 주진 않는다..[2]
역사
- 넷 사이트(Net Site) 1.0 (1994 년 12월 15일 출시)
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 2.0 (1996년 3월 5일 출시)
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 2.0.1 (1996 년 11월 출시)
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.0 (1997 년 6월 출시)
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.0.1
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.5 (1998 년 2월 출시)
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.5.1
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.6 (1999 년 1월 11일 출시)
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.6 SP1
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.6 SP2
- 넷스케이프 앤터프라이즈 서버(Netscape Enterprise Server) 3.6 SP3
- 아이플래닛 웹 서버(iPlanet Web Server) 4.0 (1999년 9월 출시) ~ 아이플래닛 웹 서버(iPlanet Web Server) 4.1 SP9
- 썬 원 웹 서버(Sun ONE Web Server) 4.1 SP10 ~ 썬 원 웹 서버(Sun ONE Web Server) 4.1 SP15
- 아이플래닛 웹 서버(iPlanet Web Server) 6.0 (2001년 11월 19일 출시) ~ 아이플래닛 웹 서버(iPlanet Web Server) 6.0 SP2
- 썬 원 웹 서버(Sun ONE Web Server) 6.0 SP3 ~ 썬 원 웹 서버(Sun ONE Web Server) 6.1 SP3
- 썬 자바 시스템 웹 서버(Sun Java System Web Server) 6.1 SP4 ~ 썬 자바 시스템 웹 서버(Sun Java System Web Server) 6.1 SP13
- 오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server) 6.1 SP14 ~ 오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server) 6.1 SP21
- 썬 자바 시스템 웹 서버(Sun Java System Web Server) 7.0 ~ 썬 자바 시스템 웹 서버(Sun Java System Web Server) 7.0 업데이트 8
- 오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server) 7.0.9 ~ 오라클 아이플래닛 웹 서버(Oracle iPlanet Web Server) 7.0.27 (2018년 03월 출시)
특징
관련 용어
- 웹티어(Web Tier) : 시스템 아키택처를 구성하는 서버들 간의 층을 말한다. 2-tier 시스템은 웹 서버와 데이터베이스(DB) 서버의 두 개 층으로 구성하고, 3-tier 시스템은 웹 서버, WAS 서버, DB 서버의 세 개 층으로 구성한다. N-tier로 확장될 수 있다.[3]
- 아파치(Apache) : 리눅스 기반의 무료 오픈 소스 웹 서버 프로그램이다. 아파치 재단에서 관리하고 있다. 아파치는. 미국 인디언 부족인 아파치족을 존경하는 의미를 담아서 만든 말이다. 로고는 아파치족이 머리에 꽂는 깃털이다.[3]
- 웹 서버(Web server) : 웹 페이지가 들어 있는 파일을 사용자에게 제공하는 프로그램이다. 시스템 소프트웨어의 일종이다. 세계 최초의 웹 서버는 1990년 팀 버너스 리(Tim Berners-Lee)가 만들었다.[3]
- 인터베이스(Interbase) : 미국 Embarcadero Techologies가 관리하는 관계형 데이터베이스 관리 시스템(RDBMS)이다. 용량이 40MB로 매우 작고 관리자가 거의 필요 없는 편리한 RDBMS이다. 리눅스, 윈도우, 안드로이드, 아이오에스 등 다양한 환경에서 작동한다. 인터베이스를 기반으로 오픈소스 무료 RDBMS인 Firebird가 만들어졌다.[3]
장점 및 단점
- 장점
아이플래닛은 가상 서버 제어, 작업에 대한 빠른 액세스 및 브라우저 또는 명령 줄에서 통합 클러스터 관리와 명령줄 인터페이스는 포괄적이고, 안전하고 스크립트 가능하면서 원격을 운영한다.재시작을 하기 위해서는 프로세스없이 대부분의 관리 작업을 적용 할 수 있다. 패턴을 기반으로 다양한 요청 처리를 제공도 하고, 수많은 환경 변수, 복잡한 응용 프로그램의 마스킹 유아르아이(URI) 및 간단한 대량 호스팅도 제공한다. 고성능 프로세스 내 자바(Java) EE 5도 제공하고 자바 서브릿(Java Servlets) 2.5, JSP 2.1 등 호환도 구현한다. Java 컨테이너는 간단한 세션 복제 및 장애 조치를 클러스터 내 메모리 내 보안 지속성을 통해 제공한다. 관리자가 대역폭을 절약하고 웹 사이트를 개선할 수 있는 특징도 있다. 또한 단일 자바 시스템 웹(Java system web)에서 수천 개의 도메인을 제공 할 수 있다. 각 가상 서버는 고유한 ip(ip address)주소, 포트, 문서 루트, 로그 파일 등 광범위한 가상화로 많은 사람들을 효율적으로 대량 호스팅할 수 있고 각 도메인을 광범위하게 사용자 정의한 도메인으로 가상 서버를 지원도 한다. 내장 된 에스이디(sed) 필터를 통해 개발자와 관리자가 요청 및 응답을 수정하는 익숙한 구문 사용, 크로스 사이트를 포함한 일반적인 공격으로부터 보호를 하는 특징도 있다. 마지막으로 데이터를 암호화하여 고급 엑세스 제어 목록으로 리소스를 보호할 수 있다. 유연한 스키마를 지원하는 내장 엘디에이피(LDAP), 에스에스엘(SSL) v2 & v3, TLS 1.0 및 타원 곡선을 암호화하여 안전하고, 최대 4k의 SSL 키 크기를 사용할 수 있으며 자체 서명된 인증서가 쉽게 생성되고, 솔라리스 10 암호체계(Solaris 10 Cryptographic Framework)와의 통합으로 나이아가라 암호 체계(Niagara Cryptographic Framework)와 같은 기능을 하여 씨알엘(CRL)의 동적 업데이트를 통해 피케이아이(PKI) 관리를 결합 할 수 있다. Web Server가 모든 사용자 사이의 에이치티티피(HTTP)끝점으로 작동 할 수 있고, 외부에서 타사 기술을 사용하는 효율적인 방법을 제공한다. 성능이 크게 저하되거나 서버가 희생되는 경우 안정을 위해 FastCGI는 일반적으로 타사 코드를 실행하지 않고 사용한다. 그리고 내장 된 검색 엔진을 사용하면 로컬로 저장된 공통 문서 유형을 쉽게 색인을 생성하고 검색 할 수 있다. 웹서버(Web server)가 64비트 Java 컨테이너를 포함한 최신 서버 환경에서 모든 RAM을 활용할 수 있는 프로세스 내 파일캐시 사용 가능 및 SSL 최적화하면, 사용 가능한 리소스를 최대한 활용할 수 있게한다.[4]
- 단점
CVE-2020-9315 및 CVE-2020-9314로 추적된 해당 취약점을 공격자가 악용할 경우 민감 데이터 노출 및 제한된 인젝션 공격을 수행할 수 있다. 해당 취약점들은 2020년 1월 19일에 나이트워치 사이버보안(Nightwatch Cybersecurity) 연구원들에 의해 기업용 서버 관리 시스템의 웹 관리 콘솔에서 발견되었다. 첫 번째 취약점(CVE-2020-9315)을 악용하면 인증 없이 타깃 페이지의 관리 GUI URL을 변경하는 것만으로도 콘솔 내 모든 페이지에 대한 읽기 작업을 수행할 수 있다. 연구원들은 해당 결함을 악용할 경우 구성 정보, 암호화 키 등을 포함한 중요 정보를 유출시킬 수 있습니다고 설명했다. 두 번째 취약점(CVE-2020-9314)은 콘솔의 "productNameSrc" 파라미터에서 발견되었으며, XSS 유효성 검사 문제를 포함하는 보안 취약점 CVE-2012-0516에 대한 불완전 패치를 통해 해당 파라미터를 악용할 수 있다. 이때 피싱과 소셜 엔지니어링 목적으로 도메인에 이미지를 삽입하기 위해 "productNameHeight" 및 "productNameWidth" 파라미터를 함께 사용한다. 오라클 아이플래닛(Oracle iPlanet) 웹 서버 7.0.x 버전은 해당 결함에 취약하지만, 이전 버전의 애플리케이션들이 영향을 받는지는 아직 확인되지 않았다. 연구원들의 설명에 따르면, 오라클 글래스피쉬(Oracle Glassfish) 및 이클립스 글래스피쉬(Eclipse Glassfish) 최신 버전은 아이플래닛(iPlanet)과 코드가 동일하긴 하나 취약한 것으로 보이지는 않다. Oracle iPlanet 웹 서버 7.0.x는 레거시 제품이며 더 이상 오라클(Oracle)에서 지원되지 않는다. 그러므로 해당 취약점들에 대한 패치 계획도 없다.[5]
각주
- ↑ 두준두준, 〈Iplanet Web Server〉, 《네이버 블로그》, 2017-03-23
- ↑ 오라클 공식 홈페이지 - https://www.oracle.com/technetwork/middleware/webtier/faq-131572.pdf
- ↑ 3.0 3.1 3.2 3.3 chuckcom, 〈it용어 #시스템소프트웨어관련 아이티공부〉, 《네이버블로그》, 2016-10-13
- ↑ 오라클 공식 홈페이지 - https://www.oracle.com/technetwork/middleware/webtier/featuresandbenefits-1-134420.pdf
- ↑ 알약(Alyac), 〈Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점〉, 《알약블로그》, 2020-05-12
참고자료
- 두준두준, 〈Iplanet Web Server〉, 《네이버 블로그》, 2017-03-23
- 오라클 공식 홈페이지 - https://www.oracle.com/technetwork/middleware/webtier/faq-131572.pdf
- chuckcom, 〈it용어 #시스템소프트웨어관련 아이티공부〉, 《네이버블로그》, 2016-10-13
- 오라클 공식 홈페이지 - https://www.oracle.com/technetwork/middleware/webtier/featuresandbenefits-1-134420.pdf
- 알약(Alyac), 〈Oracle iPlanet 웹 서버의 정보 유출 및 피싱 취약점〉, 《알약블로그》, 2020-05-12
같이 보기