줌라, 크리티컬 원격 실행 버그 패치
메이저 놀이터 순위트SW 포털
게시글 작성 시각 2015-12-15 22:46:01
2015년 12월 15일 (수)
ⓒ ITWorld, Jeremy Kirk | IDG News Service
줌라(Joomla) 사용자라면 바로 즉시 버전 3.4.6으로 업그레이드해야 한다.
오픈소스 프로젝트에 널리 사용되는 줌라 콘텐츠 관리 시스템(content management system)이 공격자들에 의해 널리 사용되고 있는 한 취약점을 패치했다.
웹사이트 보안 업체인 수쿠리(Sucuri)는 지난 이틀동안 공격자들이 결함을 악용하려고 시도하고 있다고 14일 전했다.
수쿠리는 14일 "공격의 흐름은 점점 더 커져갔으며 우리는 기본적으로 모든 사이트와 허니팟(honeypot)에 공격을 받았다. 이는 아마도 다른 모든 줌라 사이트들도 표적이 되고 있음을 의미한다"고 밝혔다.
이번 취약점은 줌라 1.5에서 3.4.5에 해당하는 버전에 영향을 미치며, 사용자가 웹 페이지를 방문했을 때 웹서버에서 브라우저로 정보를 전송하는 사용자 에이전트 스트링(user agent string)를 포함한다.
사용자 에이전트 스트링에는 브라우저 형태와 버전, 그리고 컴퓨터 운영체제와 버전 등이 담겨 있는데, 이는 웹 서버에서 데스크톱 버전과 모바일과 같이 웹사이트의 적절한 버전을 사용자에게 딜리버리하기 위해 사용된다.
수쿠리는 "공격자들은 완전한 원격 명령 실행(remote command execution)이 가능한 HTTP 사용자 에이전트를 통해 한 객체에 인잭션 공격을 할 수 있다"고 말했다.
많은 사이트들이 줌라를 사용하고 있기 때문에 이 버그는 공격자들에게 매력적인 표적을 선물한 셈이 된다. 만약 줌라 사이트가 해킹당한다면 공격자들은 페이지에 악의적인 코드를 심을 수 있거나 다른 악의적인 사이트로 사람들을 리다이렉트시킬 수 있다.
사용자들은 버전 3.4.6으로 업그레이드해야 하며, 해당 버전은 여기를 클릭하라. 줌라는 이베이(eBay), 푸조(Peugeot), 반스앤노블(Barnes & Noble) 등을 포함한 많은 회사들이 사용하고 있다.
오픈소스 프로젝트에 널리 사용되는 줌라 콘텐츠 관리 시스템(content management system)이 공격자들에 의해 널리 사용되고 있는 한 취약점을 패치했다.
웹사이트 보안 업체인 수쿠리(Sucuri)는 지난 이틀동안 공격자들이 결함을 악용하려고 시도하고 있다고 14일 전했다.
수쿠리는 14일 "공격의 흐름은 점점 더 커져갔으며 우리는 기본적으로 모든 사이트와 허니팟(honeypot)에 공격을 받았다. 이는 아마도 다른 모든 줌라 사이트들도 표적이 되고 있음을 의미한다"고 밝혔다.
이번 취약점은 줌라 1.5에서 3.4.5에 해당하는 버전에 영향을 미치며, 사용자가 웹 페이지를 방문했을 때 웹서버에서 브라우저로 정보를 전송하는 사용자 에이전트 스트링(user agent string)를 포함한다.
사용자 에이전트 스트링에는 브라우저 형태와 버전, 그리고 컴퓨터 운영체제와 버전 등이 담겨 있는데, 이는 웹 서버에서 데스크톱 버전과 모바일과 같이 웹사이트의 적절한 버전을 사용자에게 딜리버리하기 위해 사용된다.
수쿠리는 "공격자들은 완전한 원격 명령 실행(remote command execution)이 가능한 HTTP 사용자 에이전트를 통해 한 객체에 인잭션 공격을 할 수 있다"고 말했다.
많은 사이트들이 줌라를 사용하고 있기 때문에 이 버그는 공격자들에게 매력적인 표적을 선물한 셈이 된다. 만약 줌라 사이트가 해킹당한다면 공격자들은 페이지에 악의적인 코드를 심을 수 있거나 다른 악의적인 사이트로 사람들을 리다이렉트시킬 수 있다.
사용자들은 버전 3.4.6으로 업그레이드해야 하며, 해당 버전은 여기를 클릭하라. 줌라는 이베이(eBay), 푸조(Peugeot), 반스앤노블(Barnes & Noble) 등을 포함한 많은 회사들이 사용하고 있다.
※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지
[원문출처 : http://www.itworld.co.kr/news/97045]
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 827 | 기업을 위한 필수 오픈소스 메일 보안 솔루션 4선 | 4428 | 2016-01-14 |
| 826 | 구글 오픈소스 '고' 언어, IBM 메인프레임 분야에도 진출 | 3678 | 2016-01-14 |
| 825 | '불편한 현실' 2016년 IT 전망 5가지 | 3486 | 2016-01-07 |
| 824 | IE 점유율 50% 무너졌다···크롬 추격에 1위도 "불안" | 3933 | 2016-01-07 |
| 823 | '살아도 산 게 아니다' 파탄 상태의 앱 개발 기술 5가지 | 4590 | 2016-01-06 |
| 822 | 리눅스 기반 랜섬웨어의 서버 공격, 막을 방법은? | 4513 | 2015-12-15 |
| 821 | 줌라, 크리티컬 원격 실행 버그 패치 | 3644 | 2015-12-15 |
| 820 | 애플 진영 개발자가 아니라도 스위프트에 관심을 가져야 하는 이유 | 3897 | 2015-12-15 |
| 819 | 모질라, 파이어폭스 OS 포기… “모바일 경쟁서 물러나” | 3758 | 2015-12-15 |
| 818 | '라즈베리 파이부터 포켓 칩까지' 연말 선물용 리눅스 제품 추천 | 4009 | 2015-12-07 |
0개 댓글