devMode 활성화 시 발생되는 Struts2 취약점 발견.. 사용자 주의!

devMode 활성화 시 발생되는 Struts2 취약점 발견.. 사용자 주의!

Struts2 취약점이 계속해서 발견되고 있어, 사용자의 각별한 주의를 당부 드립니다. 이번 취약점은 Struts2에서 devMode를 활성화했을 때 나타나며, 원격코드실행이 가능한 취약점입니다. 

▶ Struts2 취약점(s2-033, s2-034) 또 다시 발견! 참고

WebService 실행권한이 루트권한으로 설정되어 있을 때, 공격자가 원격에서 임의 코드를 실행시킬 수 있어 주의가 필요합니다.

※ devMode란?

Struts2는 devMode를 설정할 수 있습니다. 개발자는 해당 설정을 통해 Struts2의 개발 속도를 향상시켜, 편하게 작업할 수 있도록 작동시킵니다. devMode는 요청에 따라 모든 설정을 갱신하기 때문에 성능에 영향을 줍니다. 따라서 평상시에는 비활성화 상태로 적용되어 있습니다.

참고 : https://struts.apache.org/docs/devmode.html

영향받는 범위

(Struts에서 devMode를 활성화시켰을 때)

Struts 2.0.0 ~ 2.5.1

해결방법

- devMode 비활성화

Struts.xml 파일 설정 

<constant name="struts.devMode" Value="false"/>

참고 :

http://www.freebuf.com/news/108924.html