작년에 발표된 패치의 불완전함 때문에 남아 있던 취약점...드디어 해결

요약 : 아파치 소프트웨어 재단이 아파치 스트러츠(Apache Struts)에서 발견된 취약점인 CVE-2021-31805를 패치했다고 보안 블로그 시큐리티어페어즈가 보도했다. 이 취약점을 공격자들이 익스플로잇 하는 데 성공할 경우 시스템 완전 장악이 가능하게 된다고 한다. 영향을 받는 버전은 2.0.0~2.5.29이다. 이 취약점은 이전에 발견된 OGNL 주입 취약점인 CVE-2021-17530의 불완전한 패치 때문에 생겨난 것이었다. 패치로서도 해결되지 않은 익스플로잇 경로들이 존재했었고, 이번 패치로 그런 나머지 경로들도 전부 해결됐다고 한다.


배경 : CVE-2021-17530은 초고위험도로 분류된 취약점이었다. OGNL 주입 취약점은 일종의 원격 코드 실행 취약점이라고도 볼 수 있다. OGNL 평가 프로세스를 강제로 시작하면 발동되는 취약점이고 아파치 재단 측은 설명했다.

말말말 : “출처가 확인되지 않은 사용자로부터 강제 OGNL 평가 프로세스가 발동되지 않도록 하는 게 안전합니다.” -아파치 소프트웨어 재단-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>