Expertos revelan dos vulnerabilidades en Oracle iPlanet Web Server

Oracle iPlanet Web Server (OiWS) es un producto multiplataforma para servidores web de aplicaciones, diseñado para negocios medianos y grandes, escrito en lenguaje C. Su última versión estable (v 7.0.27) fue lanzada en enero del 2018 y actualmente Oracle no le está proporcionando soporte.

Un grupo de expertos han revelado dos vulnerabilidades en la consola de administración de OiWS. Una de ellas permite la exposición de datos sensibles, al obtener acceso de solo lectura a cualquier página dentro de la consola de administración sin necesidad de autenticación y la segunda permite la inyección de imágenes externas, que bien, pueden ser utilizadas para realizar phishing o ingeniería social.

Los investigadores encontraron esta vulnerabilidad a mediados del mes de Enero 2020 y aunque fueron reportadas a Oracle, la marca rechazó realizar cualquier gestión, así como lanzar un parche de seguridad, por motivo que el producto ya no recibe soporte por parte de ellos. Durante el mes de Febrero 2020 se les asignó el seguimiento CVE-2020-9314 y CVE-2020-9315, a las pocas horas de la asignación los expertos notificaron a Oracle de sus intenciones de divulgar las vulnerabilidades, siendo publicadas el día de ayer 10 de Mayo 2020.

Respuesta de Oracle


Según el reporte, la vulnerabilidad (CVE-2020-9315) por exposición de datos confidenciales en la consola de administración web, como claves de cifrado, configuración de la máquina virtual Java (JVM), entre otros, puede ser explotada mediante el reemplazo de cualquier URL por la URL de la consola de administración.

La segunda vulnerabilidad (CVE-2020-3914) reportada por una inyección de imágenes externas, se debe al parámetro “productNameSrc”. Puede ser explotada al usarse una combinación de los parámetros “productNameHeight” y “productNameWidth” debido a una parcheado incompleto para la vulnerabilidad CVE-2012-0516, porque la corrección anterior solo agregaba una validación para enfrentar problemas de cross-site scripting (XSS), pero no agregó una validación para las imágenes cargadas externamente.

Ambas vulnerabilidades fueron probadas en la versión 7 de OiWS, pero los investigadores desconocen si afectan a las versiones anteriores. Los expertos destacaron que las últimas versiones mas recientes de Oracle Glassfish y Eclipse Glassfish, aunque comparte el mismo código que OiWS v7, también fueron probadas y demostraron no poseer estas vulnerabilidades.

Como OiWS no va a recibir soporte oficial, es recomendable para los usuarios que aún utilicen OiWS implementar otros controles para mitigar estas vulnerabilidades, al ser fallas que pueden ser explotadas de forma remota, se recomienda restringir el acceso a la consola de administración desde internet o cambiar a otra plataforma compatible con su aplicación web.



Fuente:

COMENTARIOS

Nombre

Actualización,3,Actualizaciones,4,AD,1,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apache,1,APP,1,Apple,16,Apps,13,APT,2,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chile,1,Chips,1,Chrome,3,Ciberataque,5,Cibercrimen,139,Cibercriminales,1,Ciberdelincuencia,13,ciberseguridad,151,Cisco,4,Citrix,6,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,2,Datos,2,DDoS,5,Debate,1,Deep Web,5,dlink,1,DNS,2,Domains,1,DoS,2,Ecommerce,3,elasticsearch,1,Email,3,Emotet,2,Empresas,114,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,4,exploit,8,Exploits,12,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,2,Fileless,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,2,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LATAM,1,Latinoamerica,1,LG,1,Linux,9,LoLbins,1,LSASS,1,Macromedia,1,Malware,46,Malwares,32,Maze,2,MDM,1,Messenger,1,MFA,1,Microsoft,38,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,17,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,20,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,17,Redes,30,redes sociales,12,Redhat,1,Remoto,1,REvil,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Ryuk,1,Salt,1,Salud,2,SeguridadTI,3,Servicios,7,Smartphones,29,SMB,5,Sodinokibi,1,Software,23,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,2,Troyano,3,Update,6,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,5,Vulnerabilidad,37,Vulnerabilidades,77,Web,8,WER,1,WhatsApp,5,wifi,5,Windows,22,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Expertos revelan dos vulnerabilidades en Oracle iPlanet Web Server
Expertos revelan dos vulnerabilidades en Oracle iPlanet Web Server
https://1.bp.blogspot.com/-0hTcrfx5p2s/XrmYGLiTDFI/AAAAAAAAB_k/j4QwkbP7kk0b8Pw9lJCpriFyL7Gti-eNwCK4BGAsYHg/w640-h320/Vulnerabilidades%2Boracle%2BOiWS.jpg
https://1.bp.blogspot.com/-0hTcrfx5p2s/XrmYGLiTDFI/AAAAAAAAB_k/j4QwkbP7kk0b8Pw9lJCpriFyL7Gti-eNwCK4BGAsYHg/s72-w640-c-h320/Vulnerabilidades%2Boracle%2BOiWS.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/05/expertos-revelan-dos-vulnerabilidades.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/05/expertos-revelan-dos-vulnerabilidades.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy