Company Contact Us 사이트맵 로그인


공지사항
자주하는질문(FAQ)
온라인 상담
Contact Us
신청서 다운로드
공지사항

No 607
제목 [kisa 보안공지] Apache Struts 2 취약점 보안 업데이트 권고
작성일 2020-12-16 11:21:26
내용

개요
 o Apache Software Foundation
Struts2에 존재하는 OGNL(Object-Graph Navigation Language) 기술과 관련된원격 코드 실행취약점을 수정하기 위한 보안 업데이트를 공개
 o
원격 공격자는 이 취약점을 악용하여 영향을 받는 시스템을 제어할 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고
 


설명 [1]
 o %(…)
구문을 사용하여 강제 OGNL 평가를 적용할 경우 이중 평가를 수행할 수 있는 취약점
 o
사용자 입력을 평가할 때 수행되는 강제 OGNL 평가는 S2-059(CVE-2019-0230)와 유사하게 원격 코드 실행이 가능 

 


영향을 받는 제품

 o Apache Struts 버전 2.0.0 ~ 2.5.25

 

 
해결 방안
 o
취약점이 해결된 버전으로 업데이트 수행
  - Struts 2.5.26
이상으로 업그레이드 [3]
 o
사용자 입력에 대해 강제 OGNL 평가를 사용하는지 확인하고 이에 대한 평가를 사용하지 않아야 하며 보안 권장 사항을 따르는 것을 권고[4]

 

[참고사이트]
[1] https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/apache-releases-security-update-apache-struts-2

[2] https://cwiki.apache.org/confluence/display/WW/S2-061

[3] https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26

[4] https://struts.apache.org/security/#do-not-use-incoming-untrusted-user-input-in-forced-expression-evaluation

[5] https://securityaffairs.co/wordpress/112089/security/struts-2-flaw.html 

[kisa 보안공지] Cisco 제품...
[kisa 보안공지] Adobe 제품군...

목록보기