□ 개요
o M2soft社의 Report Designer 5.0 및 CROWNIX Report & ERS 6.0 제품(리포트 출력기능)에서 임의 코드 실행이 가능한
취약점이 발견
o 낮은 버전의 M2Soft ActiveX 사용자는 악성코드 감염 등의 피해를 입을 수 있으므로 최신버전으로 업데이트 설치 및
적극적인 대처 필요
□ 내용
o 영향을 받는 제품
- Crownix Report 6.0, Report Designer 5.0(5.0.0.163 이상)
※ RDVistaSupport.dll 1.0.0.20 이하 버전을 사용하는 ActiveX
□ 해결 방안
o (서비스 이용자) 인터넷 익스플로러(IE)를 사용하여 아래 링크 클릭 후 보안 업데이트 패치를 직접 실행하여 RDVistaSupport.
dll을 최신버전(1.0.0.22)으로 업데이트
※ 다운로드 링크 : http://220.117.48.103/report/support/Client2/RDVistaSupport.htm
[그림 1] 정상 설치 화면
- 업데이트 파일 설치 후 아래 두 가지 방법을 통해 RDVistaSupport.dll 버전 확인
* 버전확인 방법
(1) Internet Explorer 실행 → [도구] → [추가기능관리] → “도구 모음 및 확장 프로그램” → “표시”에서 “다운로드 받은
컨트롤(또는 현재 로드된 추가 기능)” 선택 → 제품 버전 확인
[그림 2] Internet Explorer를 통한 버전 확인
(2) 다음 경로에서 RDVistaSupport.dll 클릭 후 마우스 오른쪽 버튼 클릭 후 [속성] 버튼 실행
(32bit) C:\\Windows\System32\RDVistaSupport.dll
(64bit) c:\\Windows\SysWOW64\RDVistaSupport.dll
[그림 3] 파일 탐색기를 통한 버전 확인
- [자세히] 탭 선택 후 파일 버전이 “1.0.0.22”인지 확인
[그림 4] 최신 버전 확인
o (서비스 운영자) M2Soft社를 통해 최신버전 교체
- 취약점이 해결된 RDVistaSupport.dll 1.0.0.22 버전 파일을 다운로드 받은 후 서버에서 배포할 수 있도록 태그 추가
※ 다운로드 링크 : http://220.117.48.103/report/support/Client2/RDVistaSupport.cab
- 다운로드 받은 cab 파일을 배포 가능한 위치에 업로드한 후 아래 경로 부분에 적용
object 태그 추가
- 업데이트 파일 설치 후 해당 RDVistaSupport.dll 버전 확인
* (서비스 이용자) 버전 확인 방법과 동일
[참고사이트]
[1] http://php.m2soft.co.kr/newsnotice/notice?uid=411&mod=document (일반 사용자)
[2] http://php.m2soft.co.kr/newsnotice/notice?uid=410&mod=document (관리자)
'취약점 정보2' 카테고리의 다른 글
Cisco 제품군 취약점 보안 업데이트 권고 (0) | 2017.06.09 |
---|---|
VMware 보안 업데이트 권고 (0) | 2017.06.09 |
M2Soft ActiveX 사용에 대한 이용자 주의 권고 (0) | 2017.05.30 |
MS 윈도우 KB4020102 (OS Build 15063.332) 업데이트 안내 (0) | 2017.05.28 |
Samba 원격 코드 실행 취약점 보안 업데이트 권고 (0) | 2017.05.25 |