Apache Struts 2 Flaws Affect Multiple Cisco Products Apache Struts의 취약점으로 인해 발생한 것으로 보이는 Equifax의 대규모 데이터 유출 사건 이후로, Cisco는 인기있는 Apache Struts2 웹 어플리케이션 프레임워크를 사용하는 자사 제품에 대한 조사를 시작했습니다. Apache Struts는 Java 프로그래밍 언어로 웹 프로그램을 개발하기 위한 오픈소스 MVC 프레임워크이며, Lockheed Martin, Vodafone, Virgin Atlantic, IRS등을 포함한 포튠 100대 기업의 65%가 사용 중입니다. 하지만, 이 인기있는 오픈소스 소프트웨어 패키지에서 최근 원격 코드 실행 취약점 2개를 포함한 다수의 취악점이 발견 되었..

국내외 보안동향 2017. 9. 13. 14:02

2017년 9월 7일, Apache Struts는 새로은 보안공지(S2-053)을 발표하였습니다. 이번에 발견된 취약점은 Apache Struts2 Freemarker 태그의 잘못된 설정 때문에 발생하는 RCE 원격코드실행 취약점 입니다. 취약점 분석 만약 태그 내용을 “${}”이러한 방식을 이용하여 표현하는 경우, 직접 OGNL중에서 원격코드실행이 가능한 취약점 입니다. 취약점 번호 CVE-2017-12611S2-053 영향받는 버전 Struts 2.0.1 – Struts 2.3.33， Struts 2.5 – Struts 2.5.10 영향받지 않는 버전 Struts2.5.12 혹은 Struts 2.3.32 해결방안 1) Apache Struts를 2.5.12 혹은 2.3.34로 업데이트2) 읽기만 가능..

국내외 보안동향 2017. 9. 8. 16:00