상세 컨텐츠

본문 제목

devMode 활성화 시 발생되는 Struts2 취약점 발견.. 사용자 주의!

국내외 보안동향

by 알약(Alyac) 2016. 7. 13. 13:19

본문

devMode 활성화 시 발생되는 Struts2 취약점 발견.. 사용자 주의!


Struts2 취약점이 계속해서 발견되고 있어, 사용자의 각별한 주의를 당부 드립니다. 이번 취약점은 Struts2에서 devMode를 활성화했을 때 나타나며, 원격코드실행이 가능한 취약점입니다. 


Struts2 취약점(s2-033, s2-034) 또 다시 발견! 참고


WebService 실행권한이 루트권한으로 설정되어 있을 때, 공격자가 원격에서 임의 코드를 실행시킬 수 있어 주의가 필요합니다.


※ devMode란?


Struts2는 devMode를 설정할 수 있습니다. 개발자는 해당 설정을 통해 Struts2의 개발 속도를 향상시켜, 편하게 작업할 수 있도록 작동시킵니다. devMode는 요청에 따라 모든 설정을 갱신하기 때문에 성능에 영향을 줍니다. 따라서 평상시에는 비활성화 상태로 적용되어 있습니다.


참고 : https://struts.apache.org/docs/devmode.html



영향받는 범위


(Struts에서 devMode를 활성화시켰을 때)

Struts 2.0.0 ~ 2.5.1



해결방법


- devMode 비활성화


Struts.xml 파일 설정 


<constant name="struts.devMode" Value="false"/>





참고 :

http://www.freebuf.com/news/108924.html


관련글 더보기

댓글 영역