Struts2 취약점(s2-033, s2-034) 또 다시 발견!
얼마전 Struts2는 s2-032가 발생한지 얼마되지 않아 또다시 S2-033, S2-034 취약점이 발견되었습니다.
※ s2-033 (CVE-2016-3087)
REST 플러그인을 사용하여 동적 메서드를 호출하였을 때,서버에서 임의의 코드를 실행할 수 있는 취약점
영향받는 버전
Struts2.3.20~Struts 2.3.28( Struts2.3.20.3 및 2.3.24.3제외)
해결방법
- 동적 메서드 호출 사용 금지
- Struts 2.3.20.3, Struts 2.3.4.3 혹은 Struts 2.3.28.1로 업그레이드
※ s2-034 (CVE-2016-3093)
아파치 Struts 프레임워크에서 사용된 OGNL 표현어는 부적절한 캐시 구현을 갖고있으며, 이 캐시는 메써드 참조를 저장하는데 사용. 이를 통하여 홈페이지에 서비스 거부공격을 일으킬 수 있는 취약점
영향받는 버전
Struts2.0.0~Struts2.3.24.1
해결방법
- OGNL버전을 3.0.12 이상으로 업그레이드
- Struts버전을 최신버전으로 업그레이드
참고 :
멀버타이징을 활용한 랜섬웨어 대량유포 주의! (0) | 2016.06.10 |
---|---|
TeamViewer가 대량의 사용자 계정정보가 유출된 것에 대하여 인정하였다. (0) | 2016.06.08 |
TeamViewer의 서비스 중단이슈가 해킹과 관련이 있다는 의혹을 받고 있다. (0) | 2016.06.03 |
OEM에도 취약점이 있다: LG 스마트폰 두가지 새로운 취약점 공개 (0) | 2016.06.02 |
ICS에서 패치할 수 없는 CVE-2016-4502 취약점 발견! (0) | 2016.06.02 |
댓글 영역