Apache Struts 웹 어플리케이션 프레임워크에서 원격의 공격자가 영향을 받는 서버에서 악성 코드를 실행할 수 있도록 허용하는 치명적인 원격 코드 실행 취약점이 발견되었습니다. 이 취약점은 Struts가 신뢰할 수 업슨 출처의 데이터를 처리하는 방식에 존재하며, Struts REST 플러그인이 deserializing 하는 동안 XML 페이로드를 처리하지 못하기 때문에 발생합니다. 취약점 번호 CVE-2017-9805S2-052 영향받는 버전 Struts 2.5 – Struts 2.5.12 버전, 2.3.33 버전 포함 PoC 공개되지 않음 임시해결방안 1) Struts 2.5.13버전으로 업그레이드2) 사용하지 않는 Struts REST 플러그인 삭제, 혹은 서버 페이지 및 JSONs에서만 사용하..

국내외 보안동향 2017. 9. 6. 15:40