줌라, 크리티컬 원격 실행 버그 패치
메이저 놀이터 순위트SW 포털
게시글 작성 시각 2015-12-15 22:46:01
2015년 12월 15일 (수)
ⓒ ITWorld, Jeremy Kirk | IDG News Service
줌라(Joomla) 사용자라면 바로 즉시 버전 3.4.6으로 업그레이드해야 한다.
오픈소스 프로젝트에 널리 사용되는 줌라 콘텐츠 관리 시스템(content management system)이 공격자들에 의해 널리 사용되고 있는 한 취약점을 패치했다.
웹사이트 보안 업체인 수쿠리(Sucuri)는 지난 이틀동안 공격자들이 결함을 악용하려고 시도하고 있다고 14일 전했다.
수쿠리는 14일 "공격의 흐름은 점점 더 커져갔으며 우리는 기본적으로 모든 사이트와 허니팟(honeypot)에 공격을 받았다. 이는 아마도 다른 모든 줌라 사이트들도 표적이 되고 있음을 의미한다"고 밝혔다.
이번 취약점은 줌라 1.5에서 3.4.5에 해당하는 버전에 영향을 미치며, 사용자가 웹 페이지를 방문했을 때 웹서버에서 브라우저로 정보를 전송하는 사용자 에이전트 스트링(user agent string)를 포함한다.
사용자 에이전트 스트링에는 브라우저 형태와 버전, 그리고 컴퓨터 운영체제와 버전 등이 담겨 있는데, 이는 웹 서버에서 데스크톱 버전과 모바일과 같이 웹사이트의 적절한 버전을 사용자에게 딜리버리하기 위해 사용된다.
수쿠리는 "공격자들은 완전한 원격 명령 실행(remote command execution)이 가능한 HTTP 사용자 에이전트를 통해 한 객체에 인잭션 공격을 할 수 있다"고 말했다.
많은 사이트들이 줌라를 사용하고 있기 때문에 이 버그는 공격자들에게 매력적인 표적을 선물한 셈이 된다. 만약 줌라 사이트가 해킹당한다면 공격자들은 페이지에 악의적인 코드를 심을 수 있거나 다른 악의적인 사이트로 사람들을 리다이렉트시킬 수 있다.
사용자들은 버전 3.4.6으로 업그레이드해야 하며, 해당 버전은 여기를 클릭하라. 줌라는 이베이(eBay), 푸조(Peugeot), 반스앤노블(Barnes & Noble) 등을 포함한 많은 회사들이 사용하고 있다.
오픈소스 프로젝트에 널리 사용되는 줌라 콘텐츠 관리 시스템(content management system)이 공격자들에 의해 널리 사용되고 있는 한 취약점을 패치했다.
웹사이트 보안 업체인 수쿠리(Sucuri)는 지난 이틀동안 공격자들이 결함을 악용하려고 시도하고 있다고 14일 전했다.
수쿠리는 14일 "공격의 흐름은 점점 더 커져갔으며 우리는 기본적으로 모든 사이트와 허니팟(honeypot)에 공격을 받았다. 이는 아마도 다른 모든 줌라 사이트들도 표적이 되고 있음을 의미한다"고 밝혔다.
이번 취약점은 줌라 1.5에서 3.4.5에 해당하는 버전에 영향을 미치며, 사용자가 웹 페이지를 방문했을 때 웹서버에서 브라우저로 정보를 전송하는 사용자 에이전트 스트링(user agent string)를 포함한다.
사용자 에이전트 스트링에는 브라우저 형태와 버전, 그리고 컴퓨터 운영체제와 버전 등이 담겨 있는데, 이는 웹 서버에서 데스크톱 버전과 모바일과 같이 웹사이트의 적절한 버전을 사용자에게 딜리버리하기 위해 사용된다.
수쿠리는 "공격자들은 완전한 원격 명령 실행(remote command execution)이 가능한 HTTP 사용자 에이전트를 통해 한 객체에 인잭션 공격을 할 수 있다"고 말했다.
많은 사이트들이 줌라를 사용하고 있기 때문에 이 버그는 공격자들에게 매력적인 표적을 선물한 셈이 된다. 만약 줌라 사이트가 해킹당한다면 공격자들은 페이지에 악의적인 코드를 심을 수 있거나 다른 악의적인 사이트로 사람들을 리다이렉트시킬 수 있다.
사용자들은 버전 3.4.6으로 업그레이드해야 하며, 해당 버전은 여기를 클릭하라. 줌라는 이베이(eBay), 푸조(Peugeot), 반스앤노블(Barnes & Noble) 등을 포함한 많은 회사들이 사용하고 있다.
※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지
[원문출처 : http://www.itworld.co.kr/news/97045]
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 4771 | 줌라, 크리티컬 원격 실행 버그 패치 | 3564 | 2015-12-15 |
| 4770 | MS, 리눅스 자격증도 판다 | 3499 | 2015-12-15 |
| 4769 | 엔터프라이즈DB ‘PPAS 도입전략 고객사례’ 세미나 | 3848 | 2015-12-15 |
| 4768 | 애플 진영 개발자가 아니라도 스위프트에 관심을 가져야 하는 이유 | 3817 | 2015-12-15 |
| 4767 | 대구, 스마트시티 클라우드 플랫폼 구축 사업 착수 | 3462 | 2015-12-15 |
| 4766 | 시큐리티플러스-오픈소스협회 ‘제1회 보안 오픈소스 컨퍼런스’ 개최 | 3380 | 2015-12-15 |
| 4765 | MS, '윈도우 라이브 라이터' 오픈소스로 메이저 사이트 순위 | 3698 | 2015-12-15 |
| 4764 | 그루터 타조, 오라클 빅데이터 어플라이언스에서 돌아간다 | 3878 | 2015-12-15 |
| 4763 | 페이스북, 인공지능 서버 '빅서' 무료 메이저 사이트 순위 | 4130 | 2015-12-15 |
| 4762 | 그들이 자바·파이썬 대신 고(Go)를 선택한 까닭 | 4757 | 2015-12-15 |
0개 댓글