Home > Àüü±â»ç

¼¼°èÀûÀÎ ºôµù ÀÚµ¿È­ ¼ÒÇÁÆ®¿þ¾î¿¡¼­ ½É°¢ÇÑ Ãë¾àÁ¡ ¹ß°ß

ÀÔ·Â : 2018-11-05 11:34
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
½ºÀ§½ºÀÇ »ç¿ìŸ°¡ ¸¸µç ÄÉÀ̽º ½ºÀ§Æ®¿¡¼­ ½É°¢ÇÑ Ãë¾àÁ¡ ³ª¿Í
XXE Ãë¾àÁ¡À¸·Î, ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì ÀÓÀÇ ÆÄÀÏ °¡Á®°¥ ¼ö ÀÖ°Ô ÇØ


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ½ºÀ§½ºÀÇ ºôµù ÀÚµ¿È­ Àü¹®È¸»çÀÎ »ç¿ìŸ(Fr. Sauter AG)ÀÇ Á¦Ç°¿¡¼­ ½É°¢ÇÑ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ÀÌ Ãë¾àÁ¡À» ¾Ç¿ëÇÏ¸é ½Ã½ºÅÛÀ¸·ÎºÎÅÍ ÆÄÀÏÀ» ÈÉÃij¾ ¼ö ÀÖ°Ô µÈ´Ù. ´ÙÇàÈ÷ »ç¿ìŸ ÃøÀº Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ°í 10Àϸ¸¿¡ ÆÐÄ¡¸¦ ¹ßÇ¥Çß´Ù°í ÇÑ´Ù.

[À̹ÌÁö = iclickart]


¹®Á¦ÀÇ Á¦Ç°Àº ÄÉÀ̽º ½ºÀ§Æ®(CASE Suite)·Î, ºôµù ÀÚµ¿È­ ÇÁ·ÎÁ§Æ®¸¦ °ü¸®ÇÏ´Â µ¥ »ç¿ëµÇ´Â ¼ÒÇÁÆ®¿þ¾î´Ù. ICS-CERT(»ê¾÷ ÅëÁ¦ ½Ã½ºÅÛ Ä§ÇØ ´ëÀÀ ¼¾ÅÍ)¿¡ µû¸£¸é ÄÉÀ̽º ½ºÀ§Æ®´Â »çȸ ±â¹Ý ½Ã¼³ ¹× »ý»ê ºÐ¾ß¿¡¼­ Àü ¼¼°èÀûÀ¸·Î »ç¿ëµÇ´Â ¼Ö·ç¼ÇÀ̶ó°í ÇÑ´Ù.

»ê¾÷ ½Ã½ºÅÛÀÇ »çÀ̹ö º¸¾ÈÀ» Àü¹®À¸·Î ÇÏ´Â ±â¾÷ ¾îÇöóÀÌµå ¸®½ºÅ©(Applied Risk)ÀÇ º¸¾È Àü¹®°¡ ±³ÄÚ Å©¸£½ºÆ½(Gjoko Krstic)¿¡ µû¸£¸é ÄÉÀ̽º ½ºÀ§Æ® 3.10 ¹× ±× ÀÌÀü ¹öÀüµé¿¡¼­ ½É°¢µµ°¡ ³ôÀº XXE(XML External Entity) Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù°í ÇÑ´Ù. ÀÌ Ãë¾àÁ¡¿¡ Á÷Á¢ÀûÀÎ ¿µÇâÀ» ¹Þ°í ÀÖ´Â ¼Ö·ç¼ÇÀº ÄÉÀ̽º ÄÄÆ÷³ÍÆ®(CASE Components), ÄÉÀ̽º ¼¾¼­(CASE Sensors), ÄÉÀ̽º VAV(CASE VAV)¶ó°í ÇÑ´Ù.

ÀÌ Ãë¾àÁ¡Àº CVE-2018-17912 ¹øÈ£°¡ ºÎ¿©µÆ°í, CVSS Á¡¼ö´Â 7.5Á¡(ICS-CERT ±âÁØ)°ú 8.6Á¡(¾îÇöóÀÌµå ¸®½ºÅ© ±âÁØ)À» ¹Þ¾Ò´Ù. ¡°DTD ¸Å°³º¯¼ö¸¦ ÅëÇÑ ÀͽºÇ÷ÎÀÕ ±â¼úÀ» ÅëÇØ ÀÌ XXE Ãë¾àÁ¡À» °ø·«ÇÒ °æ¿ì ÀÓÀÇÀÇ µ¥ÀÌÅÍ°¡ ³ëÃâµÇ°í, À̸¦ °ø°ÝÀÚ°¡ ȹµæÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. XML Æļ­·Î ÀԷµǴ µ¥ÀÌÅÍ°¡ Á¦´ë·Î È®ÀεÇÁö ¾Ê±â ¶§¹®¿¡ ¹ß»ýÇÏ´Â Ãë¾àÁ¡À̱⵵ ÇÕ´Ï´Ù.¡± ¾îÇöóÀÌµå ¸®½ºÅ© ÃøÀÇ ¼³¸íÀÌ´Ù.

¶ÇÇÑ Å©¸£½ºÆ½Àº ¡°ÇÇÇØÀÚ°¡ Ư¼öÇÏ°Ô Á¶ÀÛµÈ XML ÆÄÀÏÀ» Ãë¾àÇÑ ¹öÀüÀÇ ÄÉÀ̽º ½ºÀ§Æ®¸¦ ÅëÇØ ¿­µµ·Ï À¯µµÇÔÀ¸·Î½á °ø°ÝÀ» ½Ç½ÃÇÒ ¼ö ÀÖ´Ù¡±¸ç ¡°À̸ÞÀÏ µîÀ» ÅëÇÑ ¼Ò¼È ¿£Áö´Ï¾î¸µ ¹× ÇÇ½Ì °ø°ÝÀÌ ¸¹ÀÌ ½ÃµµµÉ °ÍÀ¸·Î º¸Àδ١±°í ¿¹»óÇß´Ù.

¡°È¤Àº ½Ã½ºÅÛÀ¸·ÎÀÇ Á¢±ÙÀÌ ÀÌ¹Ì °¡´ÉÇÑ °ø°ÝÀÚ°¡ ¾Ç¼º ÆÄÀÏÀ» µ¥½ºÅ©Åé Æú´õ µî¿¡ ÀúÀåÇصÒÀ¸·Î½á »ç¿ëÀÚ°¡ »ç¿ìÅÍ ¼ÒÇÁÆ®¿þ¾î·Î ÇØ´ç Æú´õ¸¦ Ž»öÇÏ´Ù°¡ ÆÄÀÏÀ» ¿­¾îº¸µµ·Ï ²Ù¹Ð ¼öµµ ÀÖ½À´Ï´Ù. ¿Ö³ÄÇϸé ÄÉÀ̽º ¼ÒÇÁÆ®¿þ¾î´Â »ç¿ëÀÚ°¡ °Ë»öÇÑ Æú´õ ³»¿¡ ÀÖ´Â XML ÆÄÀÏÀ» ÀÚµ¿À¸·Î ·ÎµùÇϰŵç¿ä. ¸Å¿ì À§ÇèÇÑ ±â´ÉÀÌÁÒ.¡±

¾Ç¼º XML ÆÄÀÏÀÌ ·ÎµùµÇ±â¸¸ ÇÏ¸é °ø°ÝÀÚ°¡ ¾Æ¹« ÆÄÀÏÀ̳ª ÈÉÄ¥ ¼ö ÀÖ°Ô µÈ´Ù°í Å©¸£½ºÆ½Àº ¼³¸íÇÑ´Ù. ¡°È¯°æ¼³Á¤ µ¥ÀÌÅÍ, °³ÀÎÁ¤º¸, °èÁ¤ Å©¸®µ§¼È, ½Ã½ºÅÛ Á¤º¸, ³×Æ®¿öÅ© Á¤º¸ µîÀÌ ¿©±â¿¡ Æ÷ÇԵ˴ϴÙ. »Ó¸¸ ¾Æ´Ï¶ó ¼ÒÇÁÆ®¿þ¾î¸¦ ¼­ºñ½º °ÅºÎ »óÅ·Π¸¸µå´Â °Íµµ °¡´ÉÇÕ´Ï´Ù.¡±

´ÙÇàÈ÷ »ç¿ìÅÍ ÃøÀº ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ Á¤º¸¸¦ Á¢¼ö¹Þ°í ³ª¼­ ºü¸£°Ô ¿òÁ÷¿´´Ù. ±×¸®°í 10ÀÏ ¸¸¿¡ ÆÐÄ¡¸¦ ¹ßÇ¥Çß´Ù°í ÇÑ´Ù. ¡°ºôµù ÀÚµ¿È­ ¼ÒÇÁÆ®¿þ¾î¿¡¼­ Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ´Â °Ç ²Ï³ª ÀÚÁÖ ÀÖ´Â ÀÏÀÔ´Ï´Ù. ÇÏÁö¸¸ ÀÌ·¯ÇÑ ¿À·ù¸¦ º¸°íÇßÀ» ¶§ Á¤Á¤µÇ±â±îÁö ¼ö¹é ÀÏÀÌ °É¸®±âµµ ÇÕ´Ï´Ù. Áï ¸ðµç ȸ»ç°¡ ÆÐÄ¡¸¦ Á¦¶§ Àß ³»ÁÖÁö ¾Ê´Â´Ù´Â °ÍÀÌÁÒ. ÇÏÁö¸¸ »ç¿ìÅÍ ÃøÀº ÀÌ·± ¸é¿¡¼­ Â÷ÀÌÁ¡À» º¸¿´½À´Ï´Ù.¡±

3ÁÙ ¿ä¾à
1. ºôµù ÀÚµ¿È­ ¼ÒÇÁÆ®¿þ¾îÀÎ ÄÉÀ̽º ½ºÀ§Æ®¿¡¼­ Ãë¾àÁ¡ ¹ß°ß.
2. XXE Ãë¾àÁ¡À¸·Î, ÀͽºÇ÷ÎÀÕ Çؼ­ ¿©·¯ °¡Áö Á¤º¸¸¦ »¯¾î°¥ ¼ö ÀÖÀ½.
3. Á¦Á¶»çÀÎ »ç¿ìÅÍ ÃøÀº 10ÀÏ ¸¸¿¡ ÆÐÄ¡ ¹ßÇ¥. ²Ï ºü¸¥ ¿òÁ÷ÀÓ.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)