세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
아파치 톰캣과 파이어폭스, 심각한 보안 취약점 발견
  |  입력 : 2016-12-12 11:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
Apache Tomcat Jmx와 Firefox 등에 대한 보안 업데이트 권고

[보안뉴스 권 준 기자] 최근 많은 이들이 사용하는 웹 애플리케이션 서버 Apache Tomcat의 Jmx와 오픈소스 웹브라우저인 Firefox, Firefox ESR 및 Thunderbird에서 보안취약점이 발견됐다. 이에 해당 소프트웨어나 웹브라우저를 설치한 사용자들은 신속한 보안업데이트가 요구된다.


먼저 아파트 소프트웨어 재단은 Apache Tomcat Jmx에서 발생하는 원격코드 실행 취약점에 대한 보안 업데이트를 발표했다.

해당 취약점은 Jmx에서 CVE-2016-3427에 대한 패치를 반영하지 않아서 발생하는 취약점(CVE-2016-8735)이다. Jmx(Java Management eXtension)으로 자바 서비스들을 관리하고 모니터링하기 위한 API를 제공하는 기능을 포함한 기술로, 발견된 취약점 CVE-2016-3427은 Java SE 8u77, JRockit R28.3.9를 사용할 때 Jmx를 통해 기밀성·무결성·가용성에 영향을 줄 수 있는 취약점이다.

취약점에 영향을 받는 소프트웨어는 △Apache Tomcat 9.0.0.M1~9.0.0.M11 △Apache Tomcat 8.5.0~8.5.6 △Apache Tomcat 8.0.0.RC1~8.0.38 △Apache Tomcat 7.0.0~7.0.72 △Apache Tomcat 6.0.0~6.0.47로, 해당 소프트웨어들은 △Apache Tomcat 9.0.0.M13 혹은 이후 버전(Apache Tomcat 9.0.0.M12은 아직 배포되지 않음) △Apache Tomcat 8.5.8 혹은 이후 버전(Apache Tomcat 8.5.7은 아직 배포되지 않음) △Apache Tomcat 8.0.39 혹은 이후 버전 △Apache Tomcat 7.0.73 혹은 이후 버전 △Apache Tomcat 6.0.48 혹은 이후 버전으로 업데이트 해야 한다.

해당 취약점에 대한 상세한 내용과 보안 업데이트는 다음 사이트를 참고하면 된다.

[참고사이트]
[1] http://tomcat.apache.org/security-9.html
[2] http://seclists.org/oss-sec/2016/q4/502

이와 함께 모질라 재단에서는 Firefox, Firefox ESR 및 Thunderbird에 대한 보안 업데이트를 발표했다.

해당 취약점은 Firefox, Firefox ESR 및 Thunderbird에서 발생한 SVG 애니메이션 원격 코드 실행 취약점(CVE-2016-9079)으로, 영향을 받는 제품 및 버전인 △Firefox 50.0.2 이전 버전 △Firefox ESR 45.5.1 이전 버전 △Thunderbird 45.5.1 이전 버전은 각각 △Firefox 50.0.2 △Firefox ESR 45.5.1 △ Thunderbird 45.5.1으로 업데이트해야 한다.

보안 업데이트를 위해서는 Firefox를 실행해 메뉴버튼을 클릭 → 도움말 클릭 후 ‘Firfox’ 정보 선택 → Firefox 정보 창이 열리면 자동으로 업데이트를 확인하고 새버전 다운로드 → 다운로드가 완료되고 설치 준비가 완료되면 ‘Firefox를 지금 다시 시작’ 버튼을 클릭 → Firefox 업데이트 과정을 거쳐야 한다. 이러한 방법으로 업데이트가 시작되지 않거나 완료되지 않는다면 최신 Firefox를 다운받아 재설치하는 게 좋다. 참고사이트는 아래와 같다.

[참고사이트]
[1] https://www.mozilla.org/en-US/firefox/50.0.2/releasenotes/

2가지 보안 취약점에 대한 보다 구체적인 사항은 한국인터넷진흥원 인터넷침해대응센터(국번없이 118)로 문의하면 된다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)