'권한탈취'에 해당되는 글 3건

  1. 2014.01.14 Cisco 유무선공유기 관리자 권한 탈취 취약점
  2. 2013.10.02 익스프레스엔진(XE) 보안 업데이트
  3. 2011.06.16 Adobe Flash Player 현재 활성화 버전 확인
2014. 1. 14. 20:14

Cisco 유무선공유기 관리자 권한 탈취 취약점

728x90


개요

  • CISCO社에서 개발한 유무선 공유기에서 관리자 권한을 탈취할 수 있는 취약점이 발견됨
    - Cisco 유무선 공유기의 테스트용 백도어(TCP 32764 포트)로 인한 관리자 권한 탈취 취약점 (CVE-2014-0659)
  • 공격자는 취약점을 악용하여 영향 받는 제품의 관리자 권한을 탈취할 수 있으므로, 보안 업데이트가 공개될 때까지 다른 제품 사용 권고 


해당 시스템

  • 영향을 받는 제품
    - Cisco WAP4410N Wireless-N Access Point
    - Cisco WRVS4400N Wireless-N Gigabit Security Router
    - Cisco RVS4000 4-port Gigabit Security Router


해결 방안

  • 해당 취약점에 영향 받는 제품을 운영하고 있는 관리자는 보안 업데이트가 공개될 때까지 다른 제품 사용을 권고


용어 정리

  • TCP 포트 : TCP 프로토콜이 사용하는 가상의 논리적 통신 연결단


기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트]
[1] http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140110-sbd


Trackback 0 Comment 0
2013. 10. 2. 18:45

익스프레스엔진(XE) 보안 업데이트

728x90

□ 개요
  o 국내 PHP기반의 CMS인 익스프레스엔진(XE)에서 웹 관리자 권한을 탈취할 수 있는 XSS 및 CSRF 취약점 발견됨
  o 취약한 버전을 사용하고 있을 경우, 홈페이지 해킹에 의해 홈페이지 변조, 개인정보 유출 등의 피해를 입을 수 
     있으므로 웹 관리자의 적극적인 조치 필요


□ 해당시스템
  o 영향받는 소프트웨어
     - 익스프레스 엔진 1.7.3.4 및 이전 버전


□ 해결방안
  o 기존 익스프레스 엔진 사용자는 업데이트가 적용된 상위 버전으로 업그레이드 [1]
    ※ 패치 작업 이전에 원본 파일 및 DB 백업 필요
  o 익스프레스 엔진을 새로 설치하는 이용자
     - 반드시 보안패치가 적용된 최신버전(1.7.3.6 이상)을 설치


□ 용어 정리
  o PHP : 동적인 웹사이트를 위한 서버 측 스크립트 언어
  o 익스프레스엔진 : PHP언어로 작성된 홈페이지용 게시판 소프트웨어 또는 프레임 워크
  o CSRF (Cross-Site Request Forgery) : 사용자가 자신의 의지와는 무관하게 공격자가 의도한 
    행위(수정, 삭제, 등록 등)를 수행하는 공격


□ 문의사항
  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


□ 기타
  o 본 취약점은 Krcert 홈페이지를 통해 이상윤님께서 제공해주셨습니다.


[참고사이트]
[1] http://www.xpressengine.com/index.php?mid=download&category_srl=18322907&parent_srl=18322917&package_srl=18325662


Trackback 3 Comment 0
2011. 6. 16. 15:05

Adobe Flash Player 현재 활성화 버전 확인

728x90

아래 Adobe Flash 무비는 현재 설치되어 있고 브라우저에서 활성화되어 있는 Adobe Flash Player의 특정 버전을 표시합니다. Macromedia Flash Player 6 이상 버전에 대해서도 Adobe Flash Player의 디버그 또는 정식 버전이 설치되어 있는지 확인하기 위해 테스트합니다.

참고: 이 무비는 Flash Player 4,0,12,0 이상 버전에 대해서만 버전 번호를 표시합니다. 버전 번호가 표시되지 않는 경우 Adobe Flash Player 다운로드 센터에서 새 버전을 설치하십시오.

보고된 버전이 설치된 버전과 일치하지 않는 경우

경우에 따라 위의 무비에서 보고된 버전 번호가 설치된 Adobe Flash Player의 버전 번호와 일치하지 않을 수 있습니다. 시스템에 설치된 Macromedia Flash Player의 버전이 위의 무비에 표시된 버전보다 최신 버전인 경우 다음 단계를 따릅니다.

  1. 브라우저를 닫은 다음 다시 엽니다.
    브라우저에서 Player의 이전 버전을 사용하고 있어 업그레이드하지 못할 수 있습니다.
  2. 컴퓨터를 다시 시작합니다.
    시스템에서 Player의 이전 버전을 사용하고 있어 업그레이드하지 못할 수 있습니다.
  3. Player를 제거한 후 다시 설치합니다.
    Flash Player의 이전 설치 과정 중에 오류가 발생했을 수 있습니다. 이런 오류를 해결하려면 Player를 완전히 제거한 뒤 다시 설치하고 컴퓨터를 다시 시작합니다.

    구체적인 지침은 Flash Player 플러그 인 및 ActiveX 컨트롤 설치 제거 방법(기술 문서 14157)을 참조하십시오.


Adobe Flash Player 취약점 보안 업데이트 권고

□ 개요

   o Adobe社는 Adobe Flash Player에 발생하는 메모리 손상 취약점을 해결한 보안 업데이트를
     발표[1]
   o 낮은 버전의 Adobe Flash Player 사용자는 시스템의 권한을 탈취 당하거나 응용 프로그램
     충돌이 일어날 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

□ 해당 시스템
   o 영향 받는 소프트웨어
     - 윈도우, 매킨토시, 리눅스, 솔라리스 환경에서 동작하는 Adobe Flash Player 10.3.181.23 및
       이전 버전
     - 안드로이드 환경에서 동작하는 Adobe Flash Player 10.3.185.23 및 이전 버전

□ 해결방안
   o 윈도우, 매킨토시, 리눅스, 솔라리스 환경의 Adobe Flash Player 10.3.181.23 및 이전버전 사용자
     - Adobe Flash Player Download Center(http://get.adobe.com/kr/flashplayer/)에 방문하여
       Adobe Flash Player 10.3.181.26버전을 설치하거나 자동 업데이트를 이용하여 업그레이드

□ 용어 정리
   o Adobe Flash Player : Adobe社에서 개발한 소프트웨어로 웹상에서 멀티미디어 컨텐츠 및
     응용 프로그램을 볼 수 있는 프로그램

□ 기타 문의사항
   o 안드로이드용 Adobe Flash Player의 보안업데이트는 언제 발표되나요?
     - 해당 보안업데이트의 발표일정은 6월 3주(6/13~19)로 예정되어 있습니다.
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]

[1] http://www.adobe.com/support/security/bulletins/apsb11-18.html


처 : 인터넷침해대응센터

Trackback 0 Comment 0