Home > 정보마당 > 공개SW 보안취약점

공개SW 보안취약점

fop 1.1

OSS관리자1 2019-12-12 16:21:11 279
컴포넌트 명 : fop
컴포넌트에 대한 취약점 정보
버전 정보 취약점 ID 취약점 최종 보고일 심각도
1.1 CVE-2017-5661 2017/11/04 7.9 (High)
취약점 ID : CVE-2017-5661
취약점 상세정보
취약점 설명 In Apache FOP before 2.2, files lying on the filesystem of the server which uses FOP can be revealed to arbitrary users who send maliciously formed SVG files. The file types that can be shown depend on the user context in which the exploitable application is running. If the user is root a full compromise of the server - including confidential or sensitive files - would be possible. XXE can also be used to attack the availability of the server via denial of service as the references within a xml document can trivially trigger an amplification attack.

2.2 버전 이전의 Apache FOP에서는, FOP를 사용하는 서버의 파일 시스템에 있는 파일이 악의적으로 형성된 SVG 파일을 보내는 임의의 사용자에게 노출 될 수 있습니다.
노출될 수 있는 파일 유형은 악용 가능한 애플리케이션이 실행 중인 사용자 컨텍스트에 따라 다릅니다.
루트 사용자인 경우 기밀 또는 민감한 파일을 포함하여 서버가 완전히 손상 될 수 있습니다.
XXE는 또한 xml 문서 내의 참조가 증폭 공격을 유발할 수 있기 때문에 서비스 거부를 통해 서버의 가용성을 공격하는 데 사용될 수 있습니다.
대응 방안 2.2 이상 버전으로 업데이트
기타 -
공개SW 보안취약점 게시물 리스트 표
번호 컴포넌트 명 및 버전 취약점ID 심각도 취약점
최종 보고일
대응방안
108 Apache Xerces2 J 2.10.0 CVE-2012-0881 7.8 (High) 2019/10/18
107 fop 1.1 CVE-2017-5661 7.9 (High) 2017/11/04
106 Elasticsearch 0.17.8 CVE-2015-1427 7.5 (High) 2018/10/10
105 Bouncy Castle 1.54 CVE-2018-1000613 7.5 (High) 2019/04/24
104 Spring Batch Test 2.1.8.RELEASE CVE-2019-3774 7.5 (High) 2019/10/10
103 Infrastructure 2.1.8.RELEASE CVE-2019-3774 7.5 (High) 2019/10/10
102 Apache Struts 1.0.2 CVE-2006-1547 7.8 (High) 2017/07/20
101 Spring Data Commons 1.8.4.RELEASE CVE-2018-1273 7.5 (High) 2019/10/10
100 Spring Data Commons 1.6.1.RELEASE CVE-2018-1273 7.5 (High) 2019/10/10
99 libplexus-utils 2.0.5 CVE-2017-1000487 7.5 (High) 2019/10/03
맨 위로
맨 위로