Home > Àüü±â»ç

Á¦·Ï½º, ¹®¼­ °ü¸® Ç÷§ÆûÀÎ µµÅ¥¼Î¾îÀÇ Ãë¾àÁ¡ ÆÐÄ¡

ÀÔ·Â : 2020-12-03 13:43
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
CVE-2020-27177¡¦¼Ö¶ó¸®½º, ¸®´ª½º, À©µµ¿ë µµÅ¥¼Î¾î¿¡¼­ ¹ß°ßµÈ ±¸¸Û
µÎ °¡Áö °ø°Ý °¡´ÉÇÏ°Ô ÇØ¡¦¼­¹ö »çÀÌµå ¿äû Á¶ÀÛ°ú ºñÀÎÁõ ¿ÜºÎ °´Ã¼ ÁÖÀÔ °ø°Ý


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] Á¦·Ï½º(Xerox)°¡ ÀÚ»ç ¹®¼­ °ü¸® Ç÷§ÆûÀÎ µµÅ¥¼Î¾î(DocuShare)¿¡¼­ ¹ß°ßµÈ µÎ °¡Áö °ø°Ý °¡´É¼ºÀ» ¿­¾î µÎ´Â Ãë¾àÁ¡À» ÆÐÄ¡Çß´Ù. ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ´Â µ¥ ¼º°øÇÒ °æ¿ì µµÅ¥¼Î¾î »ç¿ëÀÚµéÀÇ ¹Î°¨ÇÑ Á¤º¸°¡ Å»ÃëµÉ ¼ö ÀÖ´Ù°í ÇÑ´Ù.

[À̹ÌÁö = utoimage]


¹Ì±¹ ÇöÁö ½Ã°£ ±âÁØÀ¸·Î ¼ö¿äÀÏ ±¹Åä¾Èº¸ºÎ »êÇÏ »çÀ̹ö º¸¾È ´ã´ç ºÎ¼­ÀÎ CISA´Â º¸¾È ±Ç°í¹®À» ¹ßÇ¥ÇØ ¡°Á¦·Ï½º µµÅ¥¼Î¾îÀÇ Ãë¾àÁ¡À» ÆÐÄ¡ÇÏ¶ó¡±°í ±Ç°íÇß´Ù. ¿©±â¼­ ¸»ÇÑ Ãë¾àÁ¡Àº µµÅ¥¼Î¾î 6.6.1, 7.0, 7.5 ¹öÀü¿¡¼­ ¹ß°ßµÈ µÎ °¡Áö º¸¾È ±¸¸ÛµéÀ» Çϳª·Î ÇÕÄ£ °ÍÀ» ¸»ÇÑ´Ù. ÀÌ Ãë¾àÁ¡Àº ¡®Á߿䡯 µî±ÞÀ» ¹Þ¾Ò´Ù.

Ãë¾àÁ¡ °ü¸® ¹øÈ£´Â CVE-2020-27177ÀÌ´Ù. Á¦·Ï½º¿¡ ÀÇÇϸé ÀÌ Ãë¾àÁ¡Àº ¼Ö¶ó¸®½º, ¸®´ª½º, À©µµ¿ë µµÅ¥¼Î¾î ¸ðµÎ¿¡ ¿µÇâÀ» ÁÖ¸ç, ¼­¹ö »çÀÌµå ¿äû Á¶ÀÛ(SSRF) °ø°Ý°ú ºñÀÎÁõ ¿ÜºÎ XML °´Ã¼ ÁÖÀÔ °ø°Ý(XXE)¸¦ °¡´ÉÇÏ°Ô ¸¸µé¾î Áشٰí ÇÑ´Ù. ÀÌ¿¡ ´ëÇÑ º¸¾È ±Ç°í¹®À» Á¦·Ï½º°¡ ¹ßÇ¥ÇÑ °Ç 11¿ù 30ÀÏÀÇ ÀÏÀÌ´Ù.

ÇÏÁö¸¸ Á¦·Ï½º´Â ÀÌ Ãë¾àÁ¡ÀÇ »ó¼¼ÇÑ ±â¼ú Á¤º¸³ª °ø°Ý ½Ã³ª¸®¿À´Â °ø°³ÇÏÁö ¾Ê¾Ò´Ù. ´ë·«ÀûÀÎ ³»¿ë°ú ÇÔ²² ÇÖÇȽºÀÇ ¸µÅ©¸¸ ¡®¹Ì´Ï ºÒ·¹Æ¾¡¯ ÇüÅ·ΠÁ¦°øÇÏ°í ÀÖÀ» »ÓÀÌ´Ù. ±×³ª¸¶µµ ¼Ö¶ó¸®½º¿ë µµÅ¥¼Î¾î 7.5 ¹öÀüÀÇ °æ¿ì´Â ¾ÆÁ÷ Á¸ÀçÇÏÁö ¾Ê´Â´Ù. ¹èÆ÷ ¿¹Á¤ÀÏÁ¶Â÷ ¾ÆÁ÷ ÀâÇôÀÖÁö ¾Ê´Ù.

SSRF °ø°ÝÀº, °ø°ÝÀÚ°¡ ¼­ºñ½ºÇü ¼ÒÇÁÆ®¿þ¾î(SaaS) ÇüÅÂÀÇ µµÅ¥¼Î¾î°¡ È£½ºÆà µÇ¾î ÀÖ´Â ¼­¹öÀÇ ±â´ÉÀ» ¾Ç¿ëÇÏ´Â °ÍÀ» ¸»ÇÑ´Ù. ¼º°øÇÒ °æ¿ì °ø°ÝÀÚ´Â ¼­¹ö¿¡ ħÅõÇØ ³»ºÎ ÀÚ¿øµéÀ» ÀÚÀ¯·Ó°Ô ¿­¶÷ÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ¡°°ø°ÝÀÚµéÀº AWS ¸ÞŸµ¥ÀÌÅÍ¿Í °°Àº ¼­¹ö ¼³Á¤ ³»¿ëµµ ÀÐÀ» ¼ö ÀÖ°Ô µË´Ï´Ù. ³»ºÎ µ¥ÀÌÅͺ£À̽º¸Á¿¡µµ Á¢¼ÓÀÌ °¡´ÉÇÏ°í¿ä. ÀÌ °ø°ÝÀº ¿ÜºÎ·Î µå·¯³ª¸é ¾È µÇ´Â °ÍµéÀÌ µå·¯³¯ ¼ö ÀÖ´Ù´Â À§Ç輺À» °¡Áö°í ÀÖ½À´Ï´Ù.¡± ¿À¿Í½À(OWASP)ÀÌ ¹ßÇ¥ÇÑ SSRF °ø°Ý¿¡ ´ëÇÑ Á¤ÀÇ´Ù.

XXE °ø°ÝÀº XML ÀԷ°ªÀ» È®ÀÎÇÏ´Â ¾ÖÇø®ÄÉÀ̼ÇÀ» °Ü³ÉÇÑ °ø°ÝÀÌ´Ù. ¡°¿ÜºÎ Á¶Á÷À̳ª ÀÚ¿ø°ú ¿¬°áµÈ ¸µÅ© µîÀÌ Æ÷ÇÔµÈ XML ÀԷ°ªÀ» È®ÀÎ ¾ÖÇø®ÄÉÀ̼ÇÀÌ Á¦´ë·Î È®ÀÎÇÏÁö ¸øÇؼ­ ±×´ë·Î Åë°ú½Ãų ¶§ ÀÌ °ø°ÝÀ» ¼º¸³½Ãų ¼ö ÀÖ½À´Ï´Ù.¡± ¿ª½Ã ¿À¿Í½ÀÀÌ ¹ßÇ¥ÇÑ XXE °ø°Ý¿¡ ´ëÇÑ ¼³¸íÀÌ´Ù. ÀÌ °ø°Ý¿¡ ¼º°øÇϸé ÇØÄ¿´Â ±â¹Ð µ¥ÀÌÅÍ¿¡ Á¢±ÙÇÏ°í Ãß°¡ °ø°ÝÀ» À̾ ¼ö ÀÖ°Ô µÈ´Ù.

Ãß°¡ °ø°Ý¿¡´Â ´ÙÀ½°ú °°Àº °ÍµéÀÌ Æ÷ÇԵȴÙ.
1) ¼­ºñ½º ¸¶ºñ °ø°Ý
2) ¼­¹ö »çÀÌµå ¿äû Á¶ÀÛ °ø°Ý
3) Æ÷Æ® ½ºÄ³´×

Æ®À§ÅÍ¿¡¼­ MrTuxracer¶ó´Â À̸§À» »ç¿ëÇÏ´Â º¸¾È Àü¹®°¡ÀÎ ÁÙ¸®¿£ ¾Æ·»½º(Julien Ahrens)°¡ ÀÌ Ãë¾àÁ¡À» Á¦ÀÏ Ã³À½ ã¾Æ³½ °ÍÀ¸·Î Á¦·Ï½º´Â ¹ßÇ¥Çß´Ù.

3ÁÙ ¿ä¾à
1. Á¦·Ï½ºÀÇ ¹®¼­ °ü¸® Ç÷§Æû¿¡¼­ Ãë¾àÁ¡ ¹ß°ßµÊ.
2. Àº¹ÐÇÏ°í ¹Î°¨ÇÑ Á¤º¸µéÀ» »©µ¹¸± ¼ö ÀÖ°Ô ÇØ ÁÖ´Â Ãë¾àÁ¡.
3. ƯÈ÷ SSRF °ø°Ý°ú XXE °ø°ÝÀ» °¡´ÉÇÏ°Ô ÇØ ÁÖ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖÀ½.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)