포스팅 내용

국내외 보안동향

Struts2 취약점(s2-033, s2-034) 또 다시 발견!

Struts2 취약점(s2-033, s2-034) 또 다시 발견!


얼마전 Struts2는 s2-032가 발생한지 얼마되지 않아 또다시 S2-033, S2-034 취약점이 발견되었습니다. 



※ s2-033 (CVE-2016-3087)


REST 플러그인을 사용하여 동적 메서드를 호출하였을 때,서버에서 임의의 코드를 실행할 수 있는 취약점


영향받는 버전


Struts2.3.20~Struts 2.3.28( Struts2.3.20.3 및 2.3.24.3제외)


해결방법 


- 동적 메서드 호출 사용 금지

- Struts 2.3.20.3, Struts 2.3.4.3 혹은 Struts 2.3.28.1로 업그레이드



※ s2-034 (CVE-2016-3093)


아파치 Struts 프레임워크에서 사용된 OGNL 표현어는 부적절한 캐시 구현을 갖고있으며, 이 캐시는 메써드 참조를 저장하는데 사용. 이를 통하여 홈페이지에 서비스 거부공격을 일으킬 수 있는 취약점


영향받는 버전 


Struts2.0.0~Struts2.3.24.1


해결방법


- OGNL버전을 3.0.12 이상으로 업그레이드

- Struts버전을 최신버전으로 업그레이드




참고 : 

http://struts.apache.org/announce.html#a20160601?sukey=3903d1d3b699c208c3fbf6480a3cfbdf6f4bed243fcdaf7ff0d7f0cb3befeb0cf78146e81803dc8fac436f40dab7a16e

http://struts.apache.org/docs/s2-033.html

http://struts.apache.org/docs/s2-034.html


티스토리 방명록 작성
name password homepage