| 스마트에디터 파일 업로드 취약점 패치 완료 | 2014.04.16 | ||
악의적 스크립트 업로드해 서버 침입 가능...현재는 조치 완료 [보안뉴스 김태형] 오픈소스 웹 어플리케이션인 ‘스마트에디터’에서 파일 업로드 취약점이 발견됐다. 해당 취약점은 KISA 측에 통보됐으며 현재는 수정조치가 완료된 상태다. 이번 취약점을 발견한 SSR 컨설팅본부 보안전략팀 하동민 씨는 “해당 스마트에디터 기능 중에 ‘사진 퀵 업로더’ 기능에서 파일 업로드 취약점이 발생했다. 그에 따라 취약한 스마트에디터 버전을 사용하고 있는 어플리케이션 환경은 해당 시스템 및 내부 사설망 침투까지 가능하다”고 밝혔다.
▲ 파일 업도드 취약점을 이용해 시스템 명령어 수행으로 해당 서버 네트워크 정보 확인이 가능하다. 이어서 그는 “이러한 파일 업로드 기능을 이용해 공격자는 악의적인 스크립트를 서버에 업로드 한 후, 이를 실행시켜 서버의 침입을 시도할 수 있다. 예를 들면, 해당 서버에서 임의의 명령어 실행, Web DB 불법 접근 및 해당 Application Server와 신뢰관계를 맺고 있는 서버들, 일례로 Web DB 서버, 내부 연동 서버 등을 공격할 수 있는 위험이 있다”고 설명했다. 이러한 취약점은 이미지 업로드 기능을 이용하는 것으로 문자열 종료 문자인 ‘NULL Byte’ 문자를 필터링하지 않고 ‘php’라는 단어를 허용하는 데서 발생한다. 이를 예방하기 위해서는 NULL 문자에 대한 필터링 로직이 필요하며 기존의 로직보다는 보다 타이트한 로직이 요구된다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
