상세 컨텐츠

본문 제목

Struts2 취약점(s2-033, s2-034) 또 다시 발견!

국내외 보안동향

by 알약(Alyac) 2016. 6. 3. 14:45

본문

Struts2 취약점(s2-033, s2-034) 또 다시 발견!


얼마전 Struts2는 s2-032가 발생한지 얼마되지 않아 또다시 S2-033, S2-034 취약점이 발견되었습니다. 



※ s2-033 (CVE-2016-3087)


REST 플러그인을 사용하여 동적 메서드를 호출하였을 때,서버에서 임의의 코드를 실행할 수 있는 취약점


영향받는 버전


Struts2.3.20~Struts 2.3.28( Struts2.3.20.3 및 2.3.24.3제외)


해결방법 


- 동적 메서드 호출 사용 금지

- Struts 2.3.20.3, Struts 2.3.4.3 혹은 Struts 2.3.28.1로 업그레이드



※ s2-034 (CVE-2016-3093)

아파치 Struts 프레임워크에서 사용된 OGNL 표현어는 부적절한 캐시 구현을 갖고있으며, 이 캐시는 메써드 참조를 저장하는데 사용. 이를 통하여 홈페이지에 서비스 거부공격을 일으킬 수 있는 취약점


영향받는 버전 


Struts2.0.0~Struts2.3.24.1


해결방법


- OGNL버전을 3.0.12 이상으로 업그레이드

- Struts버전을 최신버전으로 업그레이드




참고 : 

http://struts.apache.org/announce.html#a20160601?sukey=3903d1d3b699c208c3fbf6480a3cfbdf6f4bed243fcdaf7ff0d7f0cb3befeb0cf78146e81803dc8fac436f40dab7a16e

http://struts.apache.org/docs/s2-033.html

http://struts.apache.org/docs/s2-034.html


저작자표시

'국내외 보안동향' 카테고리의 다른 글

멀버타이징을 활용한 랜섬웨어 대량유포 주의!  (0) 2016.06.10
TeamViewer가 대량의 사용자 계정정보가 유출된 것에 대하여 인정하였다.  (0) 2016.06.08
TeamViewer의 서비스 중단이슈가 해킹과 관련이 있다는 의혹을 받고 있다.  (0) 2016.06.03
OEM에도 취약점이 있다: LG 스마트폰 두가지 새로운 취약점 공개  (0) 2016.06.02
ICS에서 패치할 수 없는 CVE-2016-4502 취약점 발견!  (0) 2016.06.02

관련글 더보기

댓글 영역

티스토리툴바