Optionsbleed vulnerability can cause Apache servers to leak memory data Apache HTTP 서버의 Optionsbleed 취약점으로 인해 특정 시스템들이 HTTP OPTIONS 요청에 대한 응답을 통해 중요 데이터를 유출시킬 수 있는 것으로 나타났습니다. 한 보안 연구원이 이 취약점을 발견해 ‘Optionsbleed’라고 명명했습니다. 이 연구원이 HTTP 메쏘드를 분석하던 중 일반적으로 클라이언트에서 서버가 어떤 HTTP 메쏘드를 지원하는지 묻는데 사용 되는 OPTIONS 메쏘드가 포함 된 요청이, 지원하는 HTTP 메쏘드 목록이 아닌 “Allow” header를 통해 손상 된 데이터를 반환하고 있는 것을 발견했습니다. 연구원이 얻은 응답의 예..

국내외 보안동향 2017. 9. 21. 17:42

Apache Struts 2 Flaws Affect Multiple Cisco Products Apache Struts의 취약점으로 인해 발생한 것으로 보이는 Equifax의 대규모 데이터 유출 사건 이후로, Cisco는 인기있는 Apache Struts2 웹 어플리케이션 프레임워크를 사용하는 자사 제품에 대한 조사를 시작했습니다. Apache Struts는 Java 프로그래밍 언어로 웹 프로그램을 개발하기 위한 오픈소스 MVC 프레임워크이며, Lockheed Martin, Vodafone, Virgin Atlantic, IRS등을 포함한 포튠 100대 기업의 65%가 사용 중입니다. 하지만, 이 인기있는 오픈소스 소프트웨어 패키지에서 최근 원격 코드 실행 취약점 2개를 포함한 다수의 취악점이 발견 되었..

국내외 보안동향 2017. 9. 13. 14:02

2017년 9월 7일, Apache Struts는 새로은 보안공지(S2-053)을 발표하였습니다. 이번에 발견된 취약점은 Apache Struts2 Freemarker 태그의 잘못된 설정 때문에 발생하는 RCE 원격코드실행 취약점 입니다. 취약점 분석 만약 태그 내용을 “${}”이러한 방식을 이용하여 표현하는 경우, 직접 OGNL중에서 원격코드실행이 가능한 취약점 입니다. 취약점 번호 CVE-2017-12611S2-053 영향받는 버전 Struts 2.0.1 – Struts 2.3.33， Struts 2.5 – Struts 2.5.10 영향받지 않는 버전 Struts2.5.12 혹은 Struts 2.3.32 해결방안 1) Apache Struts를 2.5.12 혹은 2.3.34로 업데이트2) 읽기만 가능..

국내외 보안동향 2017. 9. 8. 16:00