본문 바로가기

apache35

Apache Log4j 2 보안 업데이트 권고 □ 개요 o Apache 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고[1] o 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고 □ 주요 내용 o Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228)[2] * 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 □ 영향을 받는 버전 o Apache Log4j 2 - 2.0-beta9 ~ 2.14.1 모든버전 o Apache Log4j 2를 사용하는 제품 ※ 참고 사이트 [4]를 확인하여 해당 제품을 이용 중일 경우, 해당 제조사의 권고에 따라 패치 또는 대응 방안 적용 □ 해결방안[1] o 제.. 2021. 12. 13.
RedHat 계열 Apache Tomcat 신규 취약점 보안 업데이트 □ 개요 o RedHat社는 RedHat 기반 시스템의 Apache Tomcat에서 발생하는 취약점을 해결한 보안 업데이트를 발표[1] - RedHat Enterprise Linux 7 기반 시스템이 해당되며 공격자가 해당 취약점을 악용하여 로컬권한상승을 통해 시스템 제어권한을 획득할 수 있음 □ 설명 o tomcat.conf의 취약한 파일 권한으로 인해 발생할 수 있는 로컬권한상승 취약점(CVE-2016-5425) □ 해당 시스템 o 영향 받는 제품 및 버전 - RedHat Enterprise Linux 7 기반 시스템의 기본 저장소 Apache Tomcat 6/7/8 버전 ※ 해당 OS : RedHat, CentOS, Fedora, Oracle Linux, openSUSE □ 해결 방안 o 해당 벤더.. 2016. 10. 15.
Apache Struts 2 보안 업데이트 □ 개요 o Apache Struts 2에서 원격 코드 실행 취약점 등을 보완한 보안 업데이트 발표[1][2] o 영향 받는 버전의 사용자는 최신버전으로 업데이트 권고 □ 설명 o 원격 코드 실행 취약점(CVE-2016-3081, CVE-2016-3082) [3][4] □ 영향 받는 버전 o Struts 2.0.0 ~ Struts 2.3.28 (2.3.20.3 및 2.3.24.3 제외) □ 해결 방안 o Struts 2.3.20.3, 2.3.24.3, 2.3.28.1로 업데이트 □ 기타 문의사항 o 한국인터넷진흥원 인터넷침해대응센터: 국번 없이 118 [참고사이트] [1 ]http://struts.apache.org/download.cgi#struts23281 [2] http://struts.apache.. 2016. 5. 6.
Apache commons-collection 라이브러리 원격코드실행 취약점 □ 개요o 자바 관련 공통 컴포넌트 개발을 위한 Apache commons-collection 라이브러리[1]에서원격코드실행 취약점이 발견o 공격자가 취약한 대상 서비스에 악의적인 데이터를 삽입하여 전송할 경우 시스템 명령어 실행, 악성코드 다운로드 및 실행 등이 가능 □ 취약점 내용o Apache commons-collection 라이브러리의 InvokerTransformer함수에서 신뢰되지 않은 데이터(명령어 등)를 검증 하지 않아 공격자가 원격에서 명령 실행이 가능 □ 영향 받는 소프트웨어o Apache commons-collection 라이브러리 Version 3.0 ~ 4.0o Apache commons-collection 라이브러리를 사용하는 자바 기반 애플리케이션 - Oracle WebLog.. 2015. 11. 12.
Apache HTTP Server 서비스 거부 취약점 아파치 소프트웨어 재단의 Apache HTTP Server에 영향을 주는 서비스 거부 취약점 발표[1]개요공격자는 HTTP 헤더를 특수하게 조작해 취약한 시스템에 요청할 경우, 서비스 거부를 유발시킬 수 있으므로 사용자의 주의가 요구됨 설명HTTP 헤더의 ‘Content-Type’ 항목 값을 변조해 서비스 거부를 일으킬 수 있는 취약점(CVE-2014-3581)modules/cache/cache_util.c의 cache_merge_headers_out 함수에서 부적절한 코드로 인한 서비스 거부 취약점 발생 해당 시스템영향 받는 소프트웨어Apache HTTP 서버 2.4.10 및 이전 버전 해결방안Apache HTTP 서버 2.4.10 및 이전 버전 사용자Apache 소스코드 중 cache_util.c를 .. 2014. 10. 13.

티스토리툴바