iPlanet: 2 failles non-patchées peuvent être exploitées

2 nouvelles vulnérabilités dans le serveur Web iPlanet d’Oracle ont été révélées. Si elles sont exploitées, ces failles peuvent conduire à une exposition de données sensibles et à des injections d’images sur des pages Web. Cependant, aucun correctif n’est prévu pour l’une ou l’autre faille.

Les vulnérabilités (CVE-2020-9315 et CVE-2020-9314) se trouvent spécifiquement dans la console d’administration Web d’iPlanet version 7, qui est arrivée en fin de vie et n’est plus prise en charge – donc pas de correctifs.

iPlanet

La première faille permet un accès en lecture seule à n’importe quelle page de la console d’administration sans authentification.

“Cela peut entraîner une exposition de données sensibles des informations de configuration sur le serveur, y compris les clés de chiffrement, la configuration de la machine virtuelle Java (JVM) et d’autres données”, ont déclaré des chercheurs de Nightwatch Security dans un article. «Nous n’avons pas effectué de test pour voir si cette vulnérabilité permet d’apporter des modifications dans la console.»

Les pirates informatiques peuvent remplacer n’importe quelle URL sur n’importe quelle page de la console d’administration, ont-ils ajouté.

La deuxième faille provient du paramètre «productNameSrc» dans la console d’administration.

«Lorsqu’on l’utilise en combinaison avec les paramètres “productNameHeight” et “productNameWidth”, il est possible d’injecter une image externe dans un site afin de faciliter l’hameçonnage», selon les chercheurs. «Cela est dû à un correctif incomplet pour CVE-2012-0516. Le correctif précédent a ajouté une vérification contre les problèmes XSS mais n’a pas ajouté de vérification pour s’assurer qu’une image externe n’est pas téléchargée. “

iPlanet

Oracle a dirigé les chercheurs vers sa déclaration EOL(End of Life – Fin de Vie) lorsque le rapport de faille leur a été soumis.

“Merci pour votre rapport concernant Oracle iPlanet Web Server 7.0.x, qui n’est plus pris en charge par Oracle”, a déclaré le fournisseur. «Comme Oracle ne prend plus en charge Oracle iPlanet Web Server 7.0.x, la politique est qu’il n’y a pas de divulgation coordonnée impliquant Oracle. Les journalistes qui découvrent des failles de sécurité dans des produits qu’Oracle ne prend plus en charge sont libres de divulguer les détails de la vulnérabilité sans la participation d’Oracle.

Comment se protéger de ces failles d’iPlanet?

Même s’il n’y a pas de correctif, tout n’est pas perdu: les utilisateurs peuvent implémenter d’autres contrôles pour atténuer le problème et réduire les risques, selon Nightwatch. Ils peuvent par exemple restreindre l’accès réseau à la console d’administration depuis Internet.

La version 7 de iPlanet est vulnérable mais Nightwatch n’a pas testé les versions antérieures.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x