¶óÀ̺귯¸® ÆÄÀÏ ÀÖ´Â Æú´õ ã¾Æ Á¤»ó ÆÄÀÏ·Î ±³Ã¼Çؾß...¼öµ¿ ÀÛ¾÷ ÇÊ¿ä
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾ÆÆÄÄ¡ ¼ÒÇÁÆ®¿þ¾î Àç´Ü(Apache Software Foundation)ÀÌ ±Ç°í¹®À» ¹ßÇ¥Çß´Ù. Ä¿¸Õ½º ÆÄÀϾ÷·Îµå(Commons FileUpload) ¶óÀ̺귯¸®ÀÇ ÃֽŠ¹öÀü¿¡¼ 2³âµÈ ¿ø°Ý ÄÚµå ½ÇÇà ¿À·ù°¡ ¹ß°ßµÆ´Ù´Â ³»¿ëÀ» ´ã°í ÀÖ´Ù. ÇØ´ç ¶óÀ̺귯¸®ÀÇ »ç¿ëÀÚ¶ó¸é ¼öµ¿À¸·Î ¾÷µ¥ÀÌÆ®¸¦ ÁøÇàÇØ¾ß ÇÑ´Ù.
[À̹ÌÁö = iclickart]
Àç´Ü Ãø¿¡ µû¸£¸é ÀÌ ¹ö±×´Â Ä¡¸íÀûÀÎ À§Çèµµ¸¦ °¡Áö°í ÀÖÀ¸¸ç, CVE-2016-1000031À̶ó´Â ¹øÈ£°¡ ÀÌ¹Ì ºÙ¾î ÀÖ¾ú´ø, ¾Ë·ÁÁø Ãë¾àÁ¡À̶ó°í ÇÑ´Ù.
Ä¿¸Õ½º ÆÄÀϾ÷·Îµå ¶óÀ̺귯¸®´Â À¥ ¾ÖÇø®ÄÉÀÌ¼Ç °³¹ß¿¡ ÀÚÁÖ È°¿ëµÇ´Â °ÍÀ¸·Î, ÀÚ¹Ù ÇÁ·Î±×·¡¹Ö ¾ð¾î ȯ°æ¿¡¼ »ç¿ëµÈ´Ù. ÀÌ Ä¿¸Õ½º ÆÄÀϾ÷·Îµå ¶óÀ̺귯¸®¿¡´Â ÀÚ¹Ù °´Ã¼°¡ Çϳª Á¸ÀçÇϴµ¥, ÀÌ °´Ã¼¸¦ Á¶ÀÛÇÏ¸é ºñÁ÷·ÄÈ °úÁ¤ÀÌ ÁøÇàµÉ ¶§ ÀÓÀÇÀÇ À§Ä¡ÀÇ µð½ºÅ©·Î ÆÄÀÏÀ» ±â·ÏÇϰųª º¹»çÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
Àç´ÜÀº ±Ç°í¹®À» ÅëÇØ ÀÌ Ãë¾àÁ¡À» ¿ø°ÝÀÇ °ø°ÝÀÚ°¡ ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì ½Ã½ºÅÛ Á¦¾î ±ÇÇÑÀ» ¿ÏÀüÈ÷ °¡Á®°¡´Â °Ô °¡´ÉÇÏ´Ù°í °æ°íÇϱ⵵ Çß´Ù. ±×·¯¸é¼ ½ºÆ®·¯Ã÷ 2(Struts 2)ÀÇ ±âº» ÆÄÀÏ ¾÷·Îµå ¿ø¸®¸¦ »ç¿ëÇÏ°í ÀÖ´Ù¸é ÀÌ Ãë¾àÁ¡¿¡ ³ëÃâµÇ¾î ÀÖÀ¸¸ç, ÇöÀç ÀÌ ¶óÀ̺귯¸®°¡ Æ÷ÇÔµÈ ÇÁ·ÎÁ§Æ®°¡ À§ÇèÇÑ »óŶó°í ¼³¸íÇß´Ù.
Ä¿¸Õ½º ÆÄÀϾ÷·Îµå ¶óÀ̺귯¸®¸¦ ¾÷µ¥ÀÌÆ® ÇÏ·Á¸é ±âÁ¸ Ãë¾àÇÑ ¹öÀüÀ» ÆÐÄ¡°¡ µÈ ¹öÀüÀ¸·Î ´ëüÇØ¾ß ÇÑ´Ù. ¸¸¾à Ãë¾àÇÑ ¶óÀ̺귯¸® ¹öÀüÀ¸·Î ¾ÖÇø®ÄÉÀ̼ÇÀÌ ÀÌ¹Ì ¿Ï¼ºµÇ¾î ¹èÆ÷°¡ µÈ »óŶó¸é, Ä¿¸Õ½º ÆÄÀϾ÷·Îµå jar ÆÄÀÏÀ» ¼öÁ¤µÈ jar ÆÄÀÏ·Î ±³Ã¼ÇØ¾ß ÇÑ´Ù. ÀÌ ÆÄÀÏÀº WEB-INF/lib¿¡¼ ãÀ» ¼ö ÀÖ´Ù.
Ãë¾àÇÑ ¹öÀüÀÇ ¶óÀ̺귯¸®´Â ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ 2.3.36 ȤÀº ±× ÀÌÀü ¹öÀüµé¿¡¼ ÁÖ·Î »ç¿ëµÆ´Ù°í Àç´Ü ÃøÀº ¼³¸íÇÏ°í ÀÖ´Ù. Ãë¾àÇÏÁö ¾ÊÀº Ä¿¸Õ½º ÆÄÀϾ÷·Îµå ¶óÀ̺귯¸®ÀÇ ¹öÀüÀº 1.3.3ÀÌ´Ù.
¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ÀÇ Ãë¾àÁ¡À̶ó°í ÇÏ¸é ´ëÇ¥ÀûÀ¸·Î ¶°¿À¸£´Â °Ô CVE-2017-5638ÀÌ´Ù. ÀÌ Ãë¾àÁ¡Àº 2017³â¿¡ ¹ß»ýÇÑ ¿¡ÄûÆѽº(Equifax) À¯Ãâ »ç°íÀÇ Á÷Á¢ÀûÀÎ ÀÌÀ¯°¡ µÇ±âµµ Çß´Ù. ÀÌ »ç°ÇÀ¸·Î ¹Ì±¹ÀÎ 1¾ï 4õ 3¹é¸¸ ¸íÀÇ °³ÀÎÁ¤º¸°¡ ¿ÜºÎ·Î »õ³ª°¬´Ù.
¶ÇÇÑ º¸´Ù ÃÖ±ÙÀÎ Áö³ 3¿ù¿¡´Â Ä¿¸Õ½º ÆÄÀϾ÷·Îµå ¶óÀ̺귯¸®¿¡¼ ºñÁ÷·ÄÈ Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ±âµµ Çß´Ù. ÀÌ ¹®Á¦´Â 10¿ù¿¡ ½ºÆ®·¯Ã÷ 2.3.36 ¹öÀüÀÌ »õ·Ó°Ô ³ª¿À¸é¼ ÇØ°áµÆ´Ù. ±× ¹Ù·Î Á÷ÀüÀÎ 8¿ù¿¡´Â ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ 2¿¡¼ ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡ÀÌ °ø°³µÈ ¹Ù ÀÖ´Ù.
SANS ÀνºÆ¼Æ©Æ®ÀÇ ¿äÇϳ׽º ¿ï¸®È÷(Johannes Ullrich)´Â ½ºÆ®·¯Ã÷ ¹öÀüÀ» ¾÷±×·¹À̵å ÇÏ´Â °Ç ¼öµ¿ÀûÀÎ ÀÛ¾÷À» ¿ä±¸ÇÑ´Ù°í ÀÚ½ÅÀÇ ºí·Î±×¸¦ ÅëÇØ ¼³¸íÇÑ´Ù. Áï, Ä¿¸Õ½º ÆÄÀϾ÷·Îµå ¶óÀ̺귯¸® ÆÄÀÏÀ» »ç¿ëÀÚ°¡ Á÷Á¢ »èÁ¦ÇÏ°í, »õ·Î¿î ÆÄÀÏÀ» »ðÀÔÇØ¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù.
´ë½Å ÀÌ·¸°Ô ¼öµ¿À¸·Î ¶óÀ̺귯¸®¸¦ ã¾Æ ¹Ù²Ù´Â °Í¿¡´Â ³ª¸§ÀÇ ÁÁÀº Á¡ÀÌ ÀÖ´Ù°í ±×´Â Â¤¾ú´Ù. ¹Ù·Î ´Ù¸¥ Æú´õ¿¡ Ãë¾àÇÑ ¹öÀüÀÇ Ä¿¸Õ½º ÆÄÀϾ÷·Îµå ¶óÀ̺귯¸®°¡ ÀÖ´ÂÁö È®ÀÎÇÒ ¼ö ÀÖ´Ù´Â °ÍÀÌ´Ù. ¡°±× ¶óÀ̺귯¸®¸¦ »ç¿ëÇÏ´Â °Ç ½ºÆ®·¯Ã÷¸¸ÀÌ ¾Æ´Õ´Ï´Ù. ´Ù¸¥ ÇÁ·¹ÀÓ¿öÅ© µî¿¡¼µµ »ç¿ëµÇ°í ÀÖ½À´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ¾ÆÆÄÄ¡ ½ºÆ®·¯Ã÷ÀÇ Ä¿¸Õ½º ÆÄÀϾ÷·Îµå ¶óÀ̺귯¸®¿¡´Â 2³âµÈ Ãë¾àÁ¡ ÀÖÀ½.
2. ÀÌ Ãë¾àÁ¡ ÇØ°áÇÑ 1.3.3 ¹öÀüÀÌ ³ª¿È.
3. Ä¿¸Õ½º ÆÄÀϾ÷·Îµå ¶óÀ̺귯¸®¿¡ ÇØ´çÇÏ´Â jar ÆÄÀÏÀ» »ç¿ëÀÚ°¡ Á÷Á¢ »èÁ¦ÇÏ°í, »õ ÆÄÀÏÀ» ÀúÀåÇØ¾ß ÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>