본문 바로가기

apache

Apache Tomcat 신규 취약점 보안 업데이트 권고 o Apache 소프트웨어 재단은 Apache Tomcat에 영향을 주는 원격 코드 실행 취약점을 해결한 보안 업데이트 발표 o 취약점 버전을 사용 중일 경우 웹 쉘 업로드로 인한 피해가 발생할 수 있으므로 서버의 담당자는 해결 방안에 따라 최신 버전으로 업데이트 권고 □ 설명 o 서버에서 HTTP PUT 메소드를 사용하도록 설정한 경우 특수하게 조작된 Request 요청을 통해 JSP 파일을 서버에 업로드할 수 있는 원격 코드 실행 취약점(CVE-2017-12617) □ 영향을 받는 버전 o Apache Tomcat 9.0.0.M1 - 9.0.0 o Apache Tomcat 8.5.0 ~ 8.5.22 o Apache Tomcat 8.0.0.RC1 ~ 8.0.46 o Apache Tomcat 7.0.0 .. 더보기
apache 업데이트 안내 CVE-2017-12617 Apache Tomcat Remote Code Execution via JSP Upload Severity: Important Vendor: The Apache Software Foundation Versions Affected: Apache Tomcat 9.0.0.M1 to 9.0.0 Apache Tomcat 8.5.0 to 8.5.22 Apache Tomcat 8.0.0.RC1 to 8.0.46 Apache Tomcat 7.0.0 to 7.0.81 Description: When running with HTTP PUTs enabled (e.g. via setting the readonly initialisation parameter of the Default servlet .. 더보기
apache Struts 업데이트 안내 (S2-052) Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads Who should read this All Struts 2 developers and users Impact of vulnerability A RCE attack is possible when using the Struts REST plugin with XStream handler to deserialise XML requests Maximum security rating Critical Recommendation Upgrade to Struts 2.5.13 Affected Software Stru.. 더보기
Apache Struts2 원격 코드 실행 취약점 주의 권고 Apache Struts에서 임의 코드 실행이 가능한 취약점이 발견 [1] o 취약한 버전을 사용 중인 서버의 담당자는 악성코드 감염 등의 위험이 있으므로 아래 해결 방안에 따른 조치 권고 □ 내용 o Struts2에서 제공하는 웹 애플리케이션 Showcase의 SaveGangsterAction 페이지에서 ActionMessages.class를 통해 특정 입력 값을 처리할 때 원격 코드 실행을 가능하게 하는 취약점(CVE-2017-9791) □ 영향을 받는 제품 및 버전 o Apache Struts 2.3.x 버전에서 Struts1 플러그인을 사용하는 경우 ※ Apache Struts2는 Struts 1의 Action을 사용하기 위해 Struts1 플러그인 기본 제공 □ 해결 방안 o 취약점에 영향을 받.. 더보기