블로그

직렬화 취약점 패치의 어려움

피터 드 크레머
게시일: 2017년 9월 11일

지난 주, 그것은 Equifax 데이터 유출 뒤에 가능한 원인은 아파치 스트럿스 REST 플러그인의 취약점이었다보고되었다. 이전 버전의 플러그인은 XStream 처리기와 함께 XML 페이로드를 처리하는 데 사용할 때 원격 코드 실행 공격에 취약합니다. 원인은 잘 알려진 취약점 유형인 신뢰할 수 없는 데이터의 직렬화입니다. CVE-2017-9805로공식적으로 인정된 이 취약점은 9월 5일 스트럿스 버전 2.5.13에서 아파치에 의해 패치되었습니다. 그런 다음 아파치 스트럿스 문서에 발표되고 명확하게 문서화되었습니다.

단순히 최신 스트럿스 버전으로 업그레이드하면이 공격으로부터 응용 프로그램을 보호 할 수 있습니다, 그래서 왜 회사는 즉시 업그레이드하지 않습니다? 직렬화 취약점의 문제는 악용중인 루틴이 응용 프로그램 코드가 의존하는 루틴인 경우가 많다는 것입니다. 이 경우 새 스트럿 패치를 적용하면 취약점에 대한 설명서에 "사용 가능한 클래스에 적용된 기본 제한으로 인해 일부 REST 작업이 작동을 중지할 수 있습니다"라고 언급하는 경우 일부 부작용이 있을 수 있습니다. 응용 프로그램이 Struts의 최신 버전에서 계속 작업하는 데 시간이 걸릴 가능성이 높습니다.

그러나 해커는 게시된 취약점을 악용하기 시작하는 데 많은 시간이 필요하지 않으며 이미 일부 악용이 게시된것을 볼 수 있습니다. 메타스플로이트 모듈이 9월 8일에 추가되었으며, 아파치가 취약점을 패치한 지 3일 후입니다. 패치를 연기하는 것은 분명히 좋은 생각이 아닙니다!

해결책은 아파치가 제안한 해결 방법을 구현하는 것이며, 이는 짧은 시간 내에 이루어질 수 있습니다. 이 해결 방법을 적용하거나 자동으로 적용하는 구성 가능한 코딩 지침이 있는 보안 도구는 이 프로세스의 속도를 크게 높일 수 있습니다.

신뢰할 수 없는 데이터의 직렬화가 포함된 코드를 식별하고 보호하는 방법에 대해 자세히 알고 싶습니까? Secure Code Warrior 명확한 설명과 교육 도전에대한 포털 .

이 취약점은 스트럿스가 이러한 종류의 데이터를 구문 분석하고 Java 프로그래밍 언어로 해석할 수 있는 정보로 변환하는 방법과 관련이 있습니다. 취약점이 성공적으로 악용되면 이러한 데이터 내부에 악성 코드를 숨기고 스트럿스가 취약점을 변환하려고 할 때 실행할 수 있습니다.

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

리소스 보기
리소스 보기

이 취약점은 스트럿스가 이러한 종류의 데이터를 구문 분석하고 Java 프로그래밍 언어로 해석할 수 있는 정보로 변환하는 방법과 관련이 있습니다.

더 알고 싶으신가요?

응용 프로그램 보안 연구원 - R&D 엔지니어 - 박사 후보

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약
공유하세요:
저자
피터 드 크레머
게시일: 2017년 9월 11일

응용 프로그램 보안 연구원 - R&D 엔지니어 - 박사 후보

공유하세요:

지난 주, 그것은 Equifax 데이터 유출 뒤에 가능한 원인은 아파치 스트럿스 REST 플러그인의 취약점이었다보고되었다. 이전 버전의 플러그인은 XStream 처리기와 함께 XML 페이로드를 처리하는 데 사용할 때 원격 코드 실행 공격에 취약합니다. 원인은 잘 알려진 취약점 유형인 신뢰할 수 없는 데이터의 직렬화입니다. CVE-2017-9805로공식적으로 인정된 이 취약점은 9월 5일 스트럿스 버전 2.5.13에서 아파치에 의해 패치되었습니다. 그런 다음 아파치 스트럿스 문서에 발표되고 명확하게 문서화되었습니다.

단순히 최신 스트럿스 버전으로 업그레이드하면이 공격으로부터 응용 프로그램을 보호 할 수 있습니다, 그래서 왜 회사는 즉시 업그레이드하지 않습니다? 직렬화 취약점의 문제는 악용중인 루틴이 응용 프로그램 코드가 의존하는 루틴인 경우가 많다는 것입니다. 이 경우 새 스트럿 패치를 적용하면 취약점에 대한 설명서에 "사용 가능한 클래스에 적용된 기본 제한으로 인해 일부 REST 작업이 작동을 중지할 수 있습니다"라고 언급하는 경우 일부 부작용이 있을 수 있습니다. 응용 프로그램이 Struts의 최신 버전에서 계속 작업하는 데 시간이 걸릴 가능성이 높습니다.

그러나 해커는 게시된 취약점을 악용하기 시작하는 데 많은 시간이 필요하지 않으며 이미 일부 악용이 게시된것을 볼 수 있습니다. 메타스플로이트 모듈이 9월 8일에 추가되었으며, 아파치가 취약점을 패치한 지 3일 후입니다. 패치를 연기하는 것은 분명히 좋은 생각이 아닙니다!

해결책은 아파치가 제안한 해결 방법을 구현하는 것이며, 이는 짧은 시간 내에 이루어질 수 있습니다. 이 해결 방법을 적용하거나 자동으로 적용하는 구성 가능한 코딩 지침이 있는 보안 도구는 이 프로세스의 속도를 크게 높일 수 있습니다.

신뢰할 수 없는 데이터의 직렬화가 포함된 코드를 식별하고 보호하는 방법에 대해 자세히 알고 싶습니까? Secure Code Warrior 명확한 설명과 교육 도전에대한 포털 .

이 취약점은 스트럿스가 이러한 종류의 데이터를 구문 분석하고 Java 프로그래밍 언어로 해석할 수 있는 정보로 변환하는 방법과 관련이 있습니다. 취약점이 성공적으로 악용되면 이러한 데이터 내부에 악성 코드를 숨기고 스트럿스가 취약점을 변환하려고 할 때 실행할 수 있습니다.

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

리소스 보기
리소스 보기

아래 양식을 작성하여 보고서를 다운로드하세요.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

전송
양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.

지난 주, 그것은 Equifax 데이터 유출 뒤에 가능한 원인은 아파치 스트럿스 REST 플러그인의 취약점이었다보고되었다. 이전 버전의 플러그인은 XStream 처리기와 함께 XML 페이로드를 처리하는 데 사용할 때 원격 코드 실행 공격에 취약합니다. 원인은 잘 알려진 취약점 유형인 신뢰할 수 없는 데이터의 직렬화입니다. CVE-2017-9805로공식적으로 인정된 이 취약점은 9월 5일 스트럿스 버전 2.5.13에서 아파치에 의해 패치되었습니다. 그런 다음 아파치 스트럿스 문서에 발표되고 명확하게 문서화되었습니다.

단순히 최신 스트럿스 버전으로 업그레이드하면이 공격으로부터 응용 프로그램을 보호 할 수 있습니다, 그래서 왜 회사는 즉시 업그레이드하지 않습니다? 직렬화 취약점의 문제는 악용중인 루틴이 응용 프로그램 코드가 의존하는 루틴인 경우가 많다는 것입니다. 이 경우 새 스트럿 패치를 적용하면 취약점에 대한 설명서에 "사용 가능한 클래스에 적용된 기본 제한으로 인해 일부 REST 작업이 작동을 중지할 수 있습니다"라고 언급하는 경우 일부 부작용이 있을 수 있습니다. 응용 프로그램이 Struts의 최신 버전에서 계속 작업하는 데 시간이 걸릴 가능성이 높습니다.

그러나 해커는 게시된 취약점을 악용하기 시작하는 데 많은 시간이 필요하지 않으며 이미 일부 악용이 게시된것을 볼 수 있습니다. 메타스플로이트 모듈이 9월 8일에 추가되었으며, 아파치가 취약점을 패치한 지 3일 후입니다. 패치를 연기하는 것은 분명히 좋은 생각이 아닙니다!

해결책은 아파치가 제안한 해결 방법을 구현하는 것이며, 이는 짧은 시간 내에 이루어질 수 있습니다. 이 해결 방법을 적용하거나 자동으로 적용하는 구성 가능한 코딩 지침이 있는 보안 도구는 이 프로세스의 속도를 크게 높일 수 있습니다.

신뢰할 수 없는 데이터의 직렬화가 포함된 코드를 식별하고 보호하는 방법에 대해 자세히 알고 싶습니까? Secure Code Warrior 명확한 설명과 교육 도전에대한 포털 .

이 취약점은 스트럿스가 이러한 종류의 데이터를 구문 분석하고 Java 프로그래밍 언어로 해석할 수 있는 정보로 변환하는 방법과 관련이 있습니다. 취약점이 성공적으로 악용되면 이러한 데이터 내부에 악성 코드를 숨기고 스트럿스가 취약점을 변환하려고 할 때 실행할 수 있습니다.

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

리소스에 접근

아래 링크를 클릭하여 이 자료의 PDF를 다운로드하세요.

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

보고서 보기데모 예약
PDF 다운로드
리소스 보기
공유하세요:
더 알고 싶으신가요?

공유하세요:
저자
피터 드 크레머
게시일: 2017년 9월 11일

응용 프로그램 보안 연구원 - R&D 엔지니어 - 박사 후보

공유하세요:

지난 주, 그것은 Equifax 데이터 유출 뒤에 가능한 원인은 아파치 스트럿스 REST 플러그인의 취약점이었다보고되었다. 이전 버전의 플러그인은 XStream 처리기와 함께 XML 페이로드를 처리하는 데 사용할 때 원격 코드 실행 공격에 취약합니다. 원인은 잘 알려진 취약점 유형인 신뢰할 수 없는 데이터의 직렬화입니다. CVE-2017-9805로공식적으로 인정된 이 취약점은 9월 5일 스트럿스 버전 2.5.13에서 아파치에 의해 패치되었습니다. 그런 다음 아파치 스트럿스 문서에 발표되고 명확하게 문서화되었습니다.

단순히 최신 스트럿스 버전으로 업그레이드하면이 공격으로부터 응용 프로그램을 보호 할 수 있습니다, 그래서 왜 회사는 즉시 업그레이드하지 않습니다? 직렬화 취약점의 문제는 악용중인 루틴이 응용 프로그램 코드가 의존하는 루틴인 경우가 많다는 것입니다. 이 경우 새 스트럿 패치를 적용하면 취약점에 대한 설명서에 "사용 가능한 클래스에 적용된 기본 제한으로 인해 일부 REST 작업이 작동을 중지할 수 있습니다"라고 언급하는 경우 일부 부작용이 있을 수 있습니다. 응용 프로그램이 Struts의 최신 버전에서 계속 작업하는 데 시간이 걸릴 가능성이 높습니다.

그러나 해커는 게시된 취약점을 악용하기 시작하는 데 많은 시간이 필요하지 않으며 이미 일부 악용이 게시된것을 볼 수 있습니다. 메타스플로이트 모듈이 9월 8일에 추가되었으며, 아파치가 취약점을 패치한 지 3일 후입니다. 패치를 연기하는 것은 분명히 좋은 생각이 아닙니다!

해결책은 아파치가 제안한 해결 방법을 구현하는 것이며, 이는 짧은 시간 내에 이루어질 수 있습니다. 이 해결 방법을 적용하거나 자동으로 적용하는 구성 가능한 코딩 지침이 있는 보안 도구는 이 프로세스의 속도를 크게 높일 수 있습니다.

신뢰할 수 없는 데이터의 직렬화가 포함된 코드를 식별하고 보호하는 방법에 대해 자세히 알고 싶습니까? Secure Code Warrior 명확한 설명과 교육 도전에대한 포털 .

이 취약점은 스트럿스가 이러한 종류의 데이터를 구문 분석하고 Java 프로그래밍 언어로 해석할 수 있는 정보로 변환하는 방법과 관련이 있습니다. 취약점이 성공적으로 악용되면 이러한 데이터 내부에 악성 코드를 숨기고 스트럿스가 취약점을 변환하려고 할 때 실행할 수 있습니다.

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/

목차

PDF 다운로드
리소스 보기
더 알고 싶으신가요?

응용 프로그램 보안 연구원 - R&D 엔지니어 - 박사 후보

Secure Code Warrior 는 전체 소프트웨어 개발 수명 주기에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 도와드립니다. 앱 보안 관리자, 개발자, CISO 등 보안과 관련된 모든 사람이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.

데모 예약다운로드
공유하세요:
리소스 허브

시작할 수 있는 리소스

더 많은 게시물
리소스 허브

시작할 수 있는 리소스

더 많은 게시물