พบช่องโหว่บน iPlanet Web Server เวอร์ชัน 7 เตือนผู้เกี่ยวข้องควรหาทางป้องกัน

iPlanet เป็น Web Server ค่าย Oracle ซึ่งล่าสุดมีการพบช่องโหว่ใหม่ 2 รายการบน iPlanet เวอร์ชัน 7.0.x ซึ่งนำไปสู่การเปิดเผยข้อมูลและการ Inject รูปภาพ จึงแนะนำให้ผู้ที่ยังใช้งานหาทางป้องกันเนื่องจากเวอร์ชันนี้เก่าจน Vendor ไม่ออกแพตช์แล้ว

Credit: ShutterStock.com

ช่องโหว่ 2 รายการคือ

  • CVE-2020-9315 – เป็นช่องโหว่ที่คนร้ายสามารถเข้าไปยังเพจเป้าหมายผ่านทาง Admin GUI URL โดยไม่มีการพิสูจน์ตัวตน ทำให้อาจเปิดเผยข้อมูลในการตั้งค่าได้
  • CVE-2020-9314 – เป็นบั๊กต่อเนื่องจากที่มาจากการอุดช่องโหว่ไม่สมบูรณ์ใน CVE-2012-0516 ซึ่งสามารถใช้พารามิเตอร์ ‘productNameSrc’ ในหน้าคอนโซลเข้ามา Inject รูปภาพในโดเมนได้

ประเด็นคือ iPlanet 7.0.x ได้สิ้นสุดระยะเวลาการดูแลไปแล้ว ทำให้คาดว่าไม่น่าจะมีแพตช์ใดๆ ออกมา รวมถึงยังไม่แน่ว่าจะมีช่องโหว่กับเวอร์ชันก่อนหน้าด้วยหรือไม่ แต่นักวิจัยเผยว่า Glassfish และ Eclipse ที่มีการแชร์โค้ดบางส่วนร่วมกันกับ iPlanet ไม่ได้รับผลกระทบ ด้วยเหตุนี้หากใครยังใช้อยู่ควรดูแลตัวเองด้วยการจำกัดการเข้าถึงหรืออัปเกรตเวอร์ชันใหม่ได้แล้ว

ที่มา :  https://www.zdnet.com/article/data-leak-phishing-security-flaws-exposed-in-oracle-iplanet-web-server/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[รีวิว] Plantronics Voyager 5200 UC สุดยอดหูฟัง Bluetooth สำหรับการโทรศัพท์และประชุมงานจาก Poly

ในช่วงที่ต้อง Work from Home กันท่ามกลางสถานการณ์วิกฤตโรคระบาดครั้งนี้ ทางทีมงาน Poly ก็ได้ส่งหูฟังรุ่นเรือธงสำหรับคนทำงานอย่าง Plantronics Voyager 5200 UC มาให้ทีมงาน TechTalkThai เราได้ทดลองใช้งานกัน ซึ่งก็ถือว่าค่อนข้างประทับใจทีเดียวครับสำหรับการทดสอบการใช้งานในครั้งนี้ จึงขอหยิบมารีวิวกันอย่างละเอียด เผื่อว่าธุรกิจองค์กรแห่งใดที่กำลังวางแผนการทำ Hybrid Work อย่างเต็มตัวจะได้ลองซื้อไปให้พนักงานในบริษัทได้ใช้งานกันครับ

ไมโครซอฟท์แนะนำขั้นตอนเดียวสุดง่ายแต่ช่วยลดความเสี่ยงถูกแฮ็กบัญชีได้ถึง 99.9%

เหตุการณ์ระบาดของ COVID-19 ทั่วโลกได้ส่งผลกระทบในแง่ของระบบรักษาความปลอดภัยด้วยเช่นกัน ซึ่งเราได้พบว่าเหล่าแฮ็กเกอร์ก็อาศัยเหตุการณ์นี้สร้างรูปแบบการโจมตีใหม่ๆ ขึ้นมา ด้วยการมุ่งเป้าไปที่พนักงานในองค์กร ยูสเซอร์ทั่วไป หรือคนที่ไม่ได้เชี่ยวชาญไอทีมากนัก ด้วยการใช้เทคนิคอย่าง Phishing, credential harvesting และ trojanized payloads …