본문 바로가기

취약점 정보2

Apache Struts2의 취약성 대책 정보 목록

728x90

1. 개요

"Apache Struts (※ 1) '은 웹 응용 프로그램을 개발하기위한 소프트웨어 프레임 워크에서 Apache Software Foundation (이후 ASF)에서 볼 수 있습니다. 일본 국내에서는 웹 사이트 구축에 매우 많이 이용되고 있으며, 그 결과 "Apache Struts」에서 구축 된 웹 사이트는 상당수 존재하는 것으로 간주합니다.

웹 사이트는 인터넷에 일단 공개하면 365 일 24 시간 언제 어디서나 액세스가 가능합니다.

따라서 웹 사이트에 취약점이 존재하는 경우이를 방치하면 정보 유출 등의 피해를 입을 가능성도 있습니다. 이러한 사태를 방지하기 위해 ASF보다 "Apache Struts」의 수정 패치가 공개 된 경우에는 즉시 패치를 적용해야합니다. 

또한이 페이지에서 대상으로하는 것은 "Apache Struts 2"입니다. "Apache Struts 1"은 이미 2013 년 4 월 5 일 보존으로 지원이 종료하고 있기 때문에 대상에서 제외하고 있습니다.

2. 대상자

웹 사이트를 구축하는 시스템 구축 사업자 (이후 SIer)의 활용을 상정하고 있습니다. 구축 한 또는 운용 보수중인 시스템에서 "Apache Struts"를 사용하는 경우, 해당 취약점 대책 정보의 유무를 아래 목록에서 확인하고 필요에 따라 업데이트하는 등의 조치를 수행 바랍니다.

3. 대책 : 업데이트

3.1 "Apache Struts"메인 프레임

"Apache Struts"취약점은 기본적으로 수정 패치 업데이트하지 해소하지 않습니다. 사전에 테스트를 실시하여 시스템이 제대로 작동하는지 확인하고, 업데이트를 실시하십시오.

2016 년 11 월 14 일 현재 최신 버전은 2.3.31와 2.5.5입니다.

3.2 "Apache Struts"라이브러리

"Apache Struts」에는 여러 부품과 같은 소프트웨어 제품 (라이브러리)가 포함되어 있습니다. 이러한 소프트웨어 제품에서도 취약점이 존재합니다 "Apache Struts」에서 구축 된 웹 사이트에도 그 영향이 미칠 가능성이 있습니다 (※ 2). 
따라서 어떤 라이브러리를 사용하고 있는지 파악, 관리를위한 목록 작성이 중요합니다. 
또한, 사용하는 라이브러리의 취약점 대책 정보의 유무는 JVN iPedia (※ 3) 등으로 확인 할 수 있습니다.

그림 Apache Struts 라이브러리를 사용하는 이미지
그림 Apache Struts 라이브러리를 사용하는 이미지

4. 취약점 대책 정보 목록

아래의 취약성 대책 정보 목록은 "Apache Struts 2 '가 대상 ASF가 공개하는 정보 (※ 4)를 바탕으로 작성하고 있습니다. 
표중의 "영향을받는 버전"의 Struts를 사용하는 경우에는 신속하게 업데이트를 실시하십시오. 덧붙여 "취약점 악용 '는 국내에서 악용이 확인되었다고 보도 된 것을 표시하고 있습니다. 반드시 모든 공격이 망라되어있는 것은 아니며, 국내에서의 보도가 없어도 해외에서 공격되는 경우도 있습니다.

표 "Apache Struts"취약점 정보 목록
번호취약점영향을받는 버전공격 코드 POC취약점 악용
S2-001임의의 코드를 실행 취약점2.0.0 - 2.0.8
S2-002크로스 사이트 스크립팅 취약점2.0.0 - 2.0.11
S2-003임의의 코드를 실행 취약점2.0.0 - 2.0.11.2
S2-004디렉토리 탐색 취약점2.0.0 - 2.0.11.2
S2-005개체 보호 메커니즘을 우회하는 취약점2.0.0 - 2.1.8.1● 1 
● 2
S2-006크로스 사이트 스크립팅 취약점2.0.0 - 2.2.1.1
S2-007임의의 코드를 실행 취약점2.0.0 - 2.2.3
S2-008여러 취약점2.1.0 - 2.3.1
S2-009임의의 코드를 실행 취약점2.0.0 - 2.3.1.1● 1
S2-010크로스 사이트 요청 위조 취약점2.0.0 - 2.3.4
S2-011서비스 운영 방해 (DoS) 취약점2.0.0 - 2.3.4
S2-012Showcase App에서 임의의 코드를 실행 취약점Showcase App 2.0.0 - 2.3.13
S2-013임의의 명령을 실행 취약점2.0.0 - 2.3.14
S2-014여러 취약점2.0.0 - 2.3.14.1
S2-015여러 취약점2.0.0 - 2.3.14.2
S2-016임의의 명령을 실행 취약점2.0.0 - 2.3.15● 1 
● 2
S2-017오픈 리디렉션 취약점2.0.0 - 2.3.15
S2-018액세스 제어를 우회 취약점2.0.0 - 2.3.15.2
S2-019DMI는 기본적으로 비활성화되어있는 문제2.0.0 - 2.3.15.1
S2-020여러 취약점2.0.0 - 2.3.16● 1 
● 2
S2-021ClassLoader를 조작 취약점2.0.0 - 2.3.16.1● 1 
● 2
S2-022ClassLoader를 조작 취약점2.0.0 - 2.3.16.2● 1
S2-023CSRF 보호 메커니즘을 우회하는 취약점2.0.0 - 2.3.16.3
S2-024응용 프로그램의 내부 상태에 대한 보안 침해의 취약점2.3.20
S2-025크로스 사이트 스크립팅 취약점2.0.0 - 2.3.16.3
S2-026내부 개체를 Hotwire 취약점2.0.0 - 2.3.24
S2-027임의의 코드를 실행 취약점2.0.0 - 2.3.16.3
S2-028크로스 사이트 스크립팅 취약점2.0.0 - 2.3.24.1
S2-029임의의 코드를 실행 취약점2.0.0 - 2.3.24.1 (except 2.3.20.3)
S2-030크로스 사이트 스크립팅 취약점2.0.0 - 2.3.24.1
S2-031임의의 코드를 실행 취약점2.0.0 - 2.3.28 (except 2.3.20.3 and 2.3.24.3)
S2-032임의의 코드를 실행 취약점2.3.20 - 2.3.28 (except 2.3.20.3 and 2.3.24.3)● 1 
● 2 
● 3
S2-033임의의 코드를 실행 취약점2.3.20 - 2.3.28 (except 2.3.20.3 and 2.3.24.3)
S2-034서비스 운영 방해 (DoS) 취약점2.0.0 - 2.3.24.1
S2-035악성 페이로드를 생성 할 수 있기 문제2.0.0 - 2.3.28.1
S2-036임의의 코드를 실행 취약점2.0.0 - 2.3.28.1
S2-037임의의 코드를 실행 취약점2.3.20 - 2.3.28.1
S2-038크로스 사이트 요청 위조 취약점2.3.20 - 2.3.28.1
S2-039Getter 메소드의 검증 우회 취약점2.3.20 - 2.3.28.1
S2-040입력 값 검증 우회 취약점2.3.20 - 2.3.28.1
S2-041서비스 운영 방해 (DoS) 취약점2.3.20 - 2.3.28.1 and 2.5
S2-042경로 탐색 취약점2.3.20 - 2.3.30
S2-043Config Browser plugin 구성 정보를 열람 할 수있는 문제Any Struts 2 version

참고 자료 


728x90