'smarteditor'에 해당되는 글 2건

  1. 2016.11.07 홈페이지 개발도구 보안 업데이트
  2. 2013.07.09 네이버 스마트에디터 파일업로드 취약점 주의
2016.11.07 19:25

홈페이지 개발도구 보안 업데이트

□ 개요
 o 홈페이지 게시판 구축 시 쉽게 활용 가능한 무료 개발도구(SmartEditor, CKEditor 등)에서 파일 업로드 및 디렉토리

    리스팅 취약점 등에 대한 보안 업데이트 권고
 o 취약한 버전을 사용하고 있을 경우 홈페이지 해킹에 의해 홈페이지 변조, 데이터베이스 정보 유출 등의 피해를 입을 수 있으므로

    웹 관리자의 적극적인 조치 필요
 
□ 해당 시스템
 o 영향 받는 소프트웨어
  - 네이버 SmartEditor 2.8.2 미만 버전
  - CKEditor : 4.5.11 미만 버전

□ 해결 방안
 o 보안 업데이트가 적용된 상위 버전으로 업그레이드
  - 네이버 SamrtEditor2.0 Basic 2.8.2.3 버전 [1]
  - CKEditor 4.5.11 버전 [2]
 o 해당 도구들에 포함된 불필요 샘플 페이지는 제거

□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
  [1] http://dev.naver.com/projects/smarteditor/download
  [2] http://ckeditor.com/whatsnew


Trackback 0 Comment 0
2013.07.09 18:53

네이버 스마트에디터 파일업로드 취약점 주의

□ 개요
   o NHN社의 오픈프로젝트로 제공중인 “SmartEditor2.0 Basic”에서 파일 업로드 취약점이 발견됨[1]
   o 공격자는 해당 취약점을 악용한 웹셸 업로드를 통해 웹페이지 변조, 개인정보 유출 등 피해를 유발할 수 있으므로,
     웹 관리자의 주의가 요구됨


□ 해당 시스템
   o 영향 받는 소프트웨어
     - SmartEditor2.0 Basic (2.3.3) 및 이전버전


□ 권장방안
   o 취약점에 의한 피해를 줄이기 위하여 웹서버 관리자에게 다음과 같은 사항을 권고함
     - 파일 업로드 기능에 서버사이드에서 동작하는 확장자 검증 알고리즘 삽입
     - 웹방화벽 운용
     - 업로드 파일이 저장되는 디렉토리 실행 권한 제거


□ 용어 정리
   o SmartEditor2.0 Basic : 네이버 오픈프로젝트로 제공하고 있는 JavaScript로 구현된 웹 기반의 WYSIWYG 편집기
   o 웹셸 : php, jsp, asp 등 서버사이드 스크립트 언어로 되어 있으며, 공격자가 원격에서 웹서버에 임의의 명령을 
      실행 시킬 수 있는 웹서버형 악성코드


□ 문의사항
  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


□ 기타
  o 본 취약점은 Krcert 홈페이지를 통해 국제정보보안센터(i2Sec)에서 제공해주셨습니다.


[참고사이트]
[1] http://dev.naver.com/projects/smarteditor/


Trackback 0 Comment 0