워드프레스 플러그인 '젯팩' 보안 결함··· 100만 개 이상 웹사이트 '비상'
OSS
게시글 작성 시각 2016-05-31 18:00:21
2016년 5월 31일 (금)
ⓒ CIO Korea, Lucian Constantin | IDG News Service
지금 워드프레스로 웹사이트를 운영하고 있다면 가능한 한 빨리 '젯팩(Jetpack)' 플러그인을 업데이트해야 한다. 공격에 노출될 수 있는 심각한 보안 결함이 발견됐기 때문이다.
젯팩 웹사이트 (이미지 출처 : Lucian Constantin)
젯팩은 무료 웹사이트 최적화, 관리, 보안 기능 등을 제공하는 유명 플러그인이다. 워드프레스닷컴을 운영하고 워드프레스 오픈소스 프로젝트에 참여하고 있는 '오토매틱(Automattic)' 사가 개발했다. 현재 100만 개 이상의 실제 운영 중인 웹사이트가 이 플러그인을 사용한다.
웹 보안 업체 수커리(Sucuri)의 연구원은 최근 젯팩에서 XSS(cross-site scripting) 보안 결함을 발견했다. 2012년에 나온 2.0 버전 이후 모든 버전이 이 결함을 갖고 있다. 이 문제는 '단축코드 임베드(Shortcode Embeds)' 젯팩 모듈에서 발생했다. 사용자가 외부 비디오와 이미지, 문서, 트윗을 내장해 다른 리소스를 현재 콘텐츠에 삽입할 수 있도록 하는 기능인데, 여기에 존재하는 취약점을 이용하면 댓글에 악의적인 자바스크립트 코드를 넣을 수 있다.
자바스크립트 코드는 잠복기가 기므로 사용자가 이 악의적인 코드가 담긴 코멘트를 볼 때마다 사용자의 브라우저에서 실행된다. 이렇게 실행된 스크립트는 사용자의 인증 쿠키를 훔치는 역할을 할 수 있다. 여기에는 SEO(Search Engine Optimization) 스팸을 추가하거나 방문자를 다른 곳으로 이동시키는 관리자 세션도 포함된다.
수커리의 연구원 마크 알렉산드레 몬트파스는 블로그를 통해 "이 취약점은 워드프레스 코멘트 기능을 통해 쉽게 악용될 수 있으므로 아직 젯팩을 업데이트하지 않았다면 가능한 한 빨리 업데이트해야 한다"고 밝혔다. 단, 단축코드 임베드 모듈을 사용하지 않는 사이트는 이 취약점의 영향을 받지 않는다. 그러나 워낙 유명한 기능이어서 많은 웹사이트가 이 모듈을 활성화해 사용하고 있을 것으로 보인다.
젯팩 개발업체는 워드프레스 보안 팀과 함께 워드프레스 핵심 자동 업데이트 시스템을 통해 영향을 받는 모든 버전에 업데이트 알림을 보냈다. 젯팩 버전 4.0.3 이상 버전은 이 취약점을 해결했다. 업체는 최신 버전으로 업그레이드하고 싶지 않은 사용자를 위해 젯팩 데이터베이스에 역대 릴리즈 21개 모두에 대해 이 취약점을 수정한 파일을 올려뒀다. 구체적으로는 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7 그리고 4.0.3 버전이다.
젯팩 웹사이트 (이미지 출처 : Lucian Constantin)
젯팩은 무료 웹사이트 최적화, 관리, 보안 기능 등을 제공하는 유명 플러그인이다. 워드프레스닷컴을 운영하고 워드프레스 오픈소스 프로젝트에 참여하고 있는 '오토매틱(Automattic)' 사가 개발했다. 현재 100만 개 이상의 실제 운영 중인 웹사이트가 이 플러그인을 사용한다.
웹 보안 업체 수커리(Sucuri)의 연구원은 최근 젯팩에서 XSS(cross-site scripting) 보안 결함을 발견했다. 2012년에 나온 2.0 버전 이후 모든 버전이 이 결함을 갖고 있다. 이 문제는 '단축코드 임베드(Shortcode Embeds)' 젯팩 모듈에서 발생했다. 사용자가 외부 비디오와 이미지, 문서, 트윗을 내장해 다른 리소스를 현재 콘텐츠에 삽입할 수 있도록 하는 기능인데, 여기에 존재하는 취약점을 이용하면 댓글에 악의적인 자바스크립트 코드를 넣을 수 있다.
자바스크립트 코드는 잠복기가 기므로 사용자가 이 악의적인 코드가 담긴 코멘트를 볼 때마다 사용자의 브라우저에서 실행된다. 이렇게 실행된 스크립트는 사용자의 인증 쿠키를 훔치는 역할을 할 수 있다. 여기에는 SEO(Search Engine Optimization) 스팸을 추가하거나 방문자를 다른 곳으로 이동시키는 관리자 세션도 포함된다.
수커리의 연구원 마크 알렉산드레 몬트파스는 블로그를 통해 "이 취약점은 워드프레스 코멘트 기능을 통해 쉽게 악용될 수 있으므로 아직 젯팩을 업데이트하지 않았다면 가능한 한 빨리 업데이트해야 한다"고 밝혔다. 단, 단축코드 임베드 모듈을 사용하지 않는 사이트는 이 취약점의 영향을 받지 않는다. 그러나 워낙 유명한 기능이어서 많은 웹사이트가 이 모듈을 활성화해 사용하고 있을 것으로 보인다.
젯팩 개발업체는 워드프레스 보안 팀과 함께 워드프레스 핵심 자동 업데이트 시스템을 통해 영향을 받는 모든 버전에 업데이트 알림을 보냈다. 젯팩 버전 4.0.3 이상 버전은 이 취약점을 해결했다. 업체는 최신 버전으로 업그레이드하고 싶지 않은 사용자를 위해 젯팩 데이터베이스에 역대 릴리즈 21개 모두에 대해 이 취약점을 수정한 파일을 올려뒀다. 구체적으로는 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7 그리고 4.0.3 버전이다.
※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지
[원문출처 : http://www.ciokorea.com/news/29879]
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 343458 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 333244 | 2020-10-27 |
5111 | JAWS 커뮤니티가 우리에게 일깨워 준 것들 | 3654 | 2016-05-31 |
5110 | 워드프레스 플러그인 '젯팩' 보안 결함··· 100만 개 이상 웹사이트 '비상' | 3574 | 2016-05-31 |
5109 | 리눅스, MS 윈도 대안 OS로 다시 뜬다 | 3597 | 2016-05-31 |
5108 | "오픈소스 생태계 구축에 한국기업도 적극 나서야" | 3445 | 2016-05-31 |
5107 | [차세대TV 3大 트렌드]②HDR10(삼성) VS 돌비비전(LG) | 3221 | 2016-05-31 |
5106 | 대검, 서울대 등과 공동으로 '과학수사' 세미나 열어 | 3433 | 2016-05-31 |
5105 | 여성차별 논란 깃허브, 다양성 보고서 공개 | 3533 | 2016-05-30 |
5104 | [주간 클라우드 동향] 내달 금융 클라우드 활용 가이드라인 나온다 | 3599 | 2016-05-30 |
5103 | 워드프레스의 6가지 장점 | 3252 | 2016-05-30 |
5102 | 오픈소스 중심지 '깃허브', 핵심은 디자인 | 2971 | 2016-05-30 |
0개 댓글