Home > 열린마당 > 공개SW 소식

공개SW 소식

2018년 8월 27일

ⓒ 아이티데일리

 

오픈소스 자바(Java) 기반 웹 애플리케이션 개발 프레임워크 ‘아파치 스트러츠(Apache Struts)’에서 원격 코드 실행(Remote Code Execution, 이하 RCE) 취약점이 발견돼 신속한 업데이트 및 주의가 요구된다.

 

27일 트렌드마이크로(대표 에바 첸)는 해당 취약점을 발견하고, 조기에 업데이트 하지 않을 경우 심각한 피해가 우려된다고 밝혔다.

 

이번에 발견된 취약점에 영향을 받는 대상은 ‘아파치 스트러츠’ 2.3~2.3.34 버전, 2.5 및 2.5.16 버전이다. 아파치 재단은 보안 결함에 대한 기술적 세부사항과 보안 권고(S2-057)를 발행했다.

 

이번 취약점은 최악의 경우 악성코드가 서버에서 원격으로 실행될 수 있다. 또한 포춘지가 선정한 100대 기업 중 65% 이상이 ‘아파치’ 프레임워크를 사용 중인 것을 감안할 때, 파급력이 클 것으로 예상된다.

 

해당 보안 결함(CVE-2018-11776)은 ‘아파치 스트러츠’ 프레임워크의 중심부에서 신뢰할 수 없는 사용자 데이터의 유효성이 충분치 않아 발생한다. 이는 잠재적 RCE로 이어질 수 있는 OGNL(Object-Graph Navigation Language) 표출(expression)을 야기한다.

 

공격자는 ‘아파치 스트러츠’ 구성에 따라 리소스(예: 문서)를 식별하는데 사용되는 URI(Uniform Resource Identifier) 쿼리의 OGNL 식을 사용해, 악성 HTTP 요청을 보낼 때 서버에서 원격 코드를 실행할 수 있다.

 

트렌드마이크로 측은 “이번 ‘아파치 스트러츠’ 취약점 발견은 개발자와 기업 보안팀 모두에게 시사하는 바가 크다”며, “웹 애플리케이션 담당자 및 데브옵스(Devops) 담당자는 신속한 개발과 사용자 경험 확대뿐 아니라 애플리케이션의 설계상 안전에 만전을 기해야 하며, 보안팀의 경우 개발, 운영 및 기타 IT 팀이 비즈니스 프로세스에서 보안을 채택할 수 있도록 권한을 부여해야 한다”고 당부했다.
(생략)

 

[원본기사 보기 : http://www.itdaily.kr/news/articleView.html?idxno=90657]

공개SW 소식 게시물 리스트 표
번호 제목 조회수 작성
공지 [주간 OSS 동향 리포트] 2019 SW주간, 오픈소스 트렌드부터 개방형OS까지 173 2019-12-08
공지 [주간 OSS 동향 리포트] 한·중·일, 빅데이터·5G·인공지능의 3국 간 협업 프로젝트 추진 위해 협력 1021 2019-11-26
공지 [주간 OSS 동향 리포트] 개발자를 위한 오픈소스 프로젝트 활용팁 1156 2019-11-20
공지 [주간 OSS 동향 리포트] 금융권 통합 오픈API 플랫폼 선보여 …오픈소스 기반 자체개발 주목 1125 2019-11-17
8002 NIPA-경북대, 공개SW 교육·참여문화 확산 위해 ‘맞손’ 403 2018-08-31
8001 KT DS, 日오픈소스 컨퍼런스 참가 410 2018-08-31
8000 베잔트, 하이퍼레저 프로젝트 공식 멤버로 합류 400 2018-08-31
7999 공개SW역량프라자, ‘제89회 오픈테크넷’ 29일 개최 442 2018-08-30
7998 [주간 OSS 동향 리포트]LA 카운티에서 공개SW 투표 집계 시스템 인증 획득 668 2018-08-28
7997 클립소프트, 오픈소스 플랫폼 '깃허브'에 HWP 라이브러리 공개 720 2018-08-28
7996 국내파, 일론머스크 AI 기업으로···"세상 문제 해결" 480 2018-08-28
7995 ‘아파치 스트러츠’ 원격 코드 실행 취약점 발견 542 2018-08-28
7994 마이크로소프트와 세일즈포스, 주요 기업용 소프트웨어 제품군 오픈소스화 계획 374 2018-08-27
7993 추억의 윈도95, 앱으로 부활했다 548 2018-08-27
맨 위로
맨 위로