[ °ø Áö ] Apache Struts2 º¸¾È ¾÷µ¥ÀÌÆ® ±Ç°í 2017-12-06

¾È³çÇϽʴϱî. È£½ºÆ®¸ÕÆ®ÀÔ´Ï´Ù.

¸ÕÀú È£½ºÆ®¸ÕÆ®¸¦ ¾Æ²¸ÁÖ½Ã°í »ç¶ûÇØ Áֽô °í°´ ¿©·¯ºÐ²²  Áø½ÉÀ¸·Î °¨»çµå¸®¸ç

Apache Struts2 º¸¾È ¾÷µ¥ÀÌÆ® ±Ç°í°¡ ÀÖ¾î À̸¦ ¾Ë·Áµå¸®°íÀÚ ÇÕ´Ï´Ù.

---------------------------------------------------------------------------

¡à °³¿ä
o Apache Struts2¿¡¼­ ¼­ºñ½º °ÅºÎ ¹× ÀÓÀÇ ÄÚµå ½ÇÇàÀÌ °¡´ÉÇÑ Ãë¾àÁ¡ÀÌ ¹ß°ß [1]
  o Ãë¾àÇÑ ¹öÀüÀ» »ç¿ë ÁßÀÎ ¼­¹öÀÇ ´ã´çÀÚ´Â ÇØ°á¹æ¾È¿¡ µû¶ó ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ® ±Ç°í

¡à ³»¿ë
o Struts REST Ç÷¯±×Àο¡¼­ JSON ÆäÀ̷ε带 ó¸®ÇÒ ¶§ ¹ß»ýÇÏ´Â ¼­ºñ½º °ÅºÎ Ãë¾àÁ¡(CVE-2017-15707)
  o Jackson-databind¿¡¼­ Á÷·ÄÈ­ °áÇÔÀÌ ¹ß»ýÇÏ¿© ObjectMapperÀÇ readValue ¸Þ¼Òµå¿¡ Ư¼öÇÏ°Ô Á¶ÀÛ µÈ ÆäÀ̷εå Àü¼Û ½Ã
    ÀÓÀÇ  ÄÚµå ½ÇÇà °¡´ÉÇÑ Ãë¾àÁ¡(CVE-2017-7525)
  
¡à ¿µÇâÀ» ¹Þ´Â ¹öÀü
o Apache Struts 2.5~ 2.5.14

¡à ÇØ°á ¹æ¾È
o CVE-2017-15707
    - Ãë¾àÁ¡¿¡ ¿µÇâÀ» ¹ÞÁö ¾Ê´Â ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ® ¼öÇà(Apache Struts 2.5.14.1) [3]
      ¶Ç´Â, ±âº» JSON-lib ´ë½Å Jackson »ç¿ë
o CVE-2017-7525
    - Ãë¾àÁ¡¿¡ ¿µÇâÀ» ¹ÞÁö ¾Ê´Â ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ® ¼öÇà(Apache Struts 2.5.14.1) [3]  
      ¶Ç´Â, Jackson dependencies¸¦ Ãë¾àÁ¡¿¡ ¿µÇâÀ» ¹ÞÁö ¾Ê´Â ¹öÀüÀ¸·Î ¼öµ¿ ¾÷µ¥ÀÌÆ®

¡à ±âŸ ¹®ÀÇ»çÇ×
o Çѱ¹ÀÎÅͳÝÁøÈï¿ø ÀÎÅͳÝħÇØ´ëÀÀ¼¾ÅÍ: ±¹¹ø¾øÀÌ 118
  
[Âü°í»çÀÌÆ®]
  [1] https://cwiki.apache.org/confluence/display/WW/S2-054
  [2] https://cwiki.apache.org/confluence/display/WW/S2-055
  [3] https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.14.1
  

---------------------------------------------------------------------------

                    Áñ°Å¿òÀÌ Àִ ȣ½ºÆà ¼­ºñ½º  [ È£½ºÆ®¸ÕÆ® ]