Home > Àüü±â»ç

¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ 2¿¡¼­ Ä¡¸íÀû Ãë¾àÁ¡ ¹ß°ß...ÆÐÄ¡ ¿ä¸Á

ÀÔ·Â : 2018-08-23 16:39
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
³Î¸® »ç¿ëµÇ´Â ¿ÀǼҽº À¥ ¾Û °³¹ß ÇÁ·¹ÀÓ¿öÅ©¶ó ÆÄÀåÀÌ Å­
ÀͽºÇ÷ÎÀÕ ³­À̵µ ³·¾Æ ´õ À§Çè...º¸¾È ºÒ·¹Æ¾ µû¶ó ¾÷µ¥ÀÌÆ® ÇÊ¿ä


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¿ÀǼҽº À¥ ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ß ÇÁ·¹ÀÓ¿öÅ©ÀÎ ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ 2(Apache Struts 2)ÀÇ »ç¿ëÀÚµéÀ̶ó¸é ¹Ýµå½Ã Àû¿ëÇØ¾ß ÇÒ ÆÐÄ¡°¡ ¹ßÇ¥µÆ´Ù. Ä¡¸íÀûÀÎ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ¾ú±â ¶§¹®ÀÌ´Ù. À̸¦ ±×´ë·Î ³öµÎ¸é ¼ö¸¹Àº ¿£µåÆ÷ÀÎÆ® ÀåºñµéÀÌ ÀͽºÇ÷ÎÀÕ¿¡ ³ëÃâµÈ´Ù°í ÇÑ´Ù.

[À̹ÌÁö = iclickart]


ÀÌ Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ °ÍÀº 4¿ù 10ÀÏÀÌ´Ù. ¼ÒÇÁÆ®¿þ¾î ºÐ¼®À» Àü¹®À¸·Î Çϴ ȸ»ç ¼¼¹É(Semmle)ÀÇ ¸¸ À¯¿¡ ¸ð(Man Yue Mo) Àü¹®°¡°¡ óÀ½À¸·Î ¹ß°ßÇß´Ù. ½ºÆ®·¯Ã÷ 2.3~2.3.34 ¹öÀü°ú 2.5~2.5.16 ¹öÀüÀÇ ÇÙ½É ¿ä¼Ò ³»¿¡¼­, ½Å·ÚµÇ´Â »ç¿ëÀÚ µ¥ÀÌÅ͸¦ È®ÀÎÇÏ´Â ¿ø¸® °¡¿îµ¥ ³ªÅ¸³ª´Â ¿À·ù´Ù. ±×¸®°í 6¿ù 25ÀÏ ¾ÆÆÄÄ¡ ¼ÒÇÁÆ®¿þ¾î Àç´ÜÀº ÀÌ ¹®Á¦¸¦ ÇØ°áÇÏ´Â ÆÐÄ¡¸¦ ÀÏ´Ü ¿Ï¼ºÇß°í, ¿À´ÃºÎÅÍ ºÒ·¹Æ¾°ú ÇÔ²² ÆÐÄ¡¸¦ ¹èÆ÷Çϱ⠽ÃÀÛÇß´Ù. »õ ¹öÀüÀº 2.3.35¿Í 2.5.17ÀÌ´Ù.

ÀÌ Ãë¾àÁ¡¿¡´Â CVE-2018-11776À̶ó´Â ¹øÈ£°¡ ºÙ¾ú´Ù. ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ´Â ¹æ¹ýÀº Å©°Ô µÎ °¡Áö ÀÖ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. µÑ ´Ù ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ °³¹ßÀÚÀÇ ºÒ·¹Æ¾À» ÅëÇØ °ø°³µÆ´Ù. ¡°È¯°æ¼³Á¤À» ÅëÇØ Á¤ÀÇµÈ °á°ú °ª°ú namespaceÀÇ °ªÀÌ ´Þ¶óÁú ¶§ ¿ø°Ý ÄÚµå ½ÇÇà °ø°ÝÀ» ½Ç½ÃÇÒ ¼ö ÀÖ½À´Ï´Ù. url ű׸¦ ºñ½ÁÇÑ ¹æ½ÄÀ¸·Î »ç¿ëÇØ °ø°ÝÇÏ´Â °Íµµ °¡´ÉÇÕ´Ï´Ù.¡±

°ø°ÝÀÚ ÀÔÀå¿¡¼­´Â ¡°ÀڽŵéÀÇ namespace¸¦ HTTP ¿äûÀÇ ¸Å°³º¯¼ö·Î¼­ ÁÖÀÔÇÏ¸é °ø°ÝÀÌ °¡´ÉÇÑ »óȲÀ» À¯¹ß½ÃÅ°´Â °Ô °¡´ÉÇÏ´Ù.¡± ½ºÆ®·¯Ã÷ ÇÁ·¹ÀÓ¿öÅ©¿¡¼­ ¸Å°³º¯¼öÀÇ È®ÀÎÀ» ºÒÃæºÐÇÏ°Ô Çϱ⠶§¹®ÀÌ´Ù. ¾Æ¹« OGNL(°´Ã¼-±×·¡ÇÁ Ž»ö ¾ð¾î) ¹®ÀÚ¿­À» ±× ÀÚ¸®¿¡ ³ÖÀ» ¼ö ÀÖ´Ù°í ¼¼¹É ÃøÀº ºí·Î±×¸¦ ÅëÇØ ¼³¸íÇß´Ù. OGNLÀº ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ÀÇ ÇൿÀ» Ä¿½ºÅ͸¶ÀÌ¡ ÇÒ ¶§ »ç¿ëÇÑ´Ù.

ÇÏÁö¸¸ ¼¼¹ÉÀº Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ·Á¸é µÎ °¡Áö Á¶°Ç¾Æ ¸Â¾Æ¶³¾îÁ®¾ß ÇÑ´Ù°í ¼³¸íÀ» Ãß°¡Çß´Ù. ¡°Çϳª´Â alwaysSelectFullNamespace Ç÷¡±×°¡ ½ºÆ®·¯Ã÷ ȯ°æ¼³Á¤ ³»¿¡¼­ true·Î ¼³Á¤µÇ¾î ÀÖ¾î¾ß ÇÕ´Ï´Ù. ¶Ç ´Ù¸¥ °Ç ½ºÆ®·¯Ã÷ ȯ°æ¼³Á¤ ÆÄÀÏ¿¡ űװ¡ namespace ¼Ó¼ºÀ» ÁöÁ¤ÇÏÁö ¾ÊÀº ä·Î ÀÖ¾î¾ß ÇÕ´Ï´Ù. ȤÀº ¾Æ¹« °ªÀ̳ª ´ëÀÔ °¡´ÉÇϵµ·Ï ¼³Á¤µÇ¾î ÀÖ¾î¾ß Çϰųª¿ä.¡±

¶ÇÇÑ ¼¼¹ÉÀº CVE-2018-11776 Ãë¾àÁ¡ÀÌ ÀÌÀü¿¡ º¸°íµÈ CVE-2017-5638°ú À¯»çÇÏ´Ù´Â ¼³¸íµµ Ãß°¡Çß´Ù. CVE-2017-5638Àº À۳⿡ ¹ß»ýÇÑ ¿¡ÄûÆѽº »ç°Ç ¶§ °ø°ÝÀÚµéÀÌ ÀͽºÇ÷ÎÀÕÇÑ Ãë¾àÁ¡ÀÌ´Ù.

¼¼¹ÉÀÇ ºÎȸÀåÀÎ Æĺ§ ¾Æºê±¸½ºÆ¼³ëÇÁ(Pavel Avgustinov)´Â ¡°À۳⠿¡ÄûÆѽº ¶§ ¾Ç¿ëµÈ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡À̳ª À̹ø¿¡ ¹ßÇ¥µÈ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡Àº ±²ÀåÈ÷ À§ÇèÇÑ °Í¡±À̶ó°í °­Á¶Çß´Ù.

¡°À§ÇèÇÑ ÀÌÀ¯°¡ ¸î °¡Áö ÀÖ½À´Ï´Ù. ¸ÕÀú ½ºÆ®·¯Ã÷´Â °í°´µéÀÌ »ç¿ëÇÏ´Â À¥»çÀÌÆ®¿¡ ³Î¸® Àû¿ëµÇ°í ÀÖ½À´Ï´Ù. Áï Ãë¾àÇÑ ½Ã½ºÅÛÀ» ã´Â °Ô ±²ÀåÈ÷ ½±´Ù´Â ¶æÀÔ´Ï´Ù. ¶ÇÇÑ ÀÌ µÎ °¡Áö Ãë¾àÁ¡ ÀüºÎ ÀͽºÇ÷ÎÀÕ ÀÚüÀÇ ³­À̵µ°¡ ¸Å¿ì ³·Àº Æí¿¡ ¼ÓÇÕ´Ï´Ù. ÀϹÝÀûÀÎ ÇØÄ¿¶ó¸é ¼öºÐ ³»¿¡ ħÅõ °æ·Î¸¦ ¹ß°ßÇÏ°í µ¥ÀÌÅ͸¦ »©µ¹¸± ¼ö ÀÖÀ» °Ì´Ï´Ù. ¾Æ´Ï¸é Ãß°¡ °ø°ÝÀ» À§ÇÑ ¹ßÆÇÀ» ¸¶·ÃÇÒ ¼öµµ ÀÖ°í¿ä. ±×·¯¹Ç·Î ÆÐÄ¡¸¦ ÃÖ´ëÇÑ »¡¸® Àû¿ëÇØ¾ß ÇÕ´Ï´Ù.¡±

ÆÐÄ¡¿Í º¸¾È ºÒ·¹Æ¾Àº ¿©±â(https://cwiki.apache.org/confluence/display/WW/S2-057)¼­ ¿­¶÷ ¹× ´Ù¿î·Îµå°¡ °¡´ÉÇÏ´Ù.

3ÁÙ ¿ä¾à
1. ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ 2¿¡¼­ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ ¹ß°ßµÊ.
2. namespace¿Í url ÅÂ±× ÅëÇØ °ø°Ý °¡´ÉÇÔ. ±×·¯³ª µÎ °¡Áö ÀüÁ¦Á¶°ÇÀÌ ¼º¸³µÇ¾î¾ß¸¸ °ø°Ý °¡´ÉÇϴٴ Ư¡µµ ÀÖÀ½.
3. 2.3.35¿Í 2.5.17ÀÌ °¡Àå ¾ÈÀüÇÑ ¹öÀüÀ̹ǷΠ»ç¿ëÀÚµéÀº ÃÖ´ëÇÑ ºü¸¥ ÆÐÄ¡ ¿ä¸ÁµÊ.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)