ÀϺΠÁ¶°Ç ¸Â¾Æ ¶³¾îÁö¸é ¿ø°Ý ÄÚµå ½ÇÇ൵ °¡´É...Á¤º¸ ³ëÃâ °ø°ÝÀº ³À̵µ°¡ ³·¾Æ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾ÆÆÄÄ¡ ÅèĹ(Apache Tomcat)À̶ó´Â À¯¸í À¥ ¼¹ö¿¡¼ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. »Ó¸¸ ¾Æ´Ï¶ó °³³äÁõ¸í¿ë ÀͽºÇ÷ÎÀÕÀÌ ±êÇãºê(GitHub)¸¦ ÅëÇØ °ø°³µÇ´Â Åë¿¡ Á¶¸¸°£ ½ÇÁ¦ °ø°ÝÀÌ ¹ú¾îÁú °¡´É¼ºµµ ³ô¾ÆÁø »óÅ´Ù. Ãë¾àÇÑ ÅèĹ ¹öÀüÀº 7.0, 8.5, 9.0ÀÎ °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù.
[À̹ÌÁö = iclickart]
¹®Á¦ÀÇ Ãë¾àÁ¡Àº CVE-2020-1938·Î, ÀÌ¹Ì 2¿ù 20ÀÏ¿¡ °ø°³µÈ ¹Ù ÀÖ´Ù. ±êÇãºê¿¡ °ø°³µÈ ÀͽºÇ÷ÎÀÕÀÇ À̸§Àº °í½ºÆ®Ä¹(Ghostcat)À̸ç, ¼¹ö·ÎºÎÅÍ Á¤º¸¸¦ ÃßÃâÇÒ ¼ö ÀÖ°Ô ÇØÁØ´Ù. ¼º°ø·üÀÌ ²Ï³ª ³ô´Ù°í ÇÑ´Ù. À̸¦ Á¶±Ý ´õ ÀÀ¿ëÇÒ °æ¿ì ¿ø°Ý ÄÚµå ½ÇÇ൵ °¡´ÉÇÑ °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. »ç¿ëÀÚÀÇ °³ÀÔÀ» ÃÖ¼ÒÈ ½ÃŲ ä °ø°ÝÀ» ½Ç½ÃÇÒ ¼ö ÀÖ¾î °ø°ÝÀÚµéÀÌ ²Ï³ª ÁÁ¾ÆÇÒ ¸¸ÇÏ´Ù´Â Æò°¡µµ ÀÖ´Ù.
¾ÆÆÄÄ¡ ÅèĹÀº ¿ÀǼҽº À¥ ¼¹ö·Î ¿©·¯ °¡Áö ÀÚ¹Ù½ºÅ©¸³Æ® ±â¹Ý ±â¼úµéÀ» Áö¿øÇÑ´Ù. CVE-2020-1938 ¿ª½Ã ÀÌ·¯ÇÑ ÀÚ¹Ù½ºÅ©¸³Æ® ±â¼ú Áß ÇϳªÀÎ ¾ÆÆÄÄ¡ Á¦À̼ºê ÇÁ·ÎÅäÄÝ(Apache JServ Protocol, AJP) ÀÎÅÍÆäÀ̽º¿¡¼ ¹ß°ßµÆ´Ù. AJP´Â ÅèĹ ¼ºí¸´ ÄÁÅ×À̳ʰ¡ À¥ ¾ÖÇø®ÄÉÀ̼ǵé°ú ¼ÒÅëÇÒ ¼ö ÀÖµµ·Ï ´Ù¸®¸¦ ³öÁØ´Ù.
¹®Á¦´Â AJP°¡ ±²ÀåÈ÷ ³ôÀº ½Å·Ú¸¦ ¹Þ°í ÀÖ´Ù´Â °ÍÀÌ´Ù. ±×·¸±â ¶§¹®¿¡ ½Å·ÚÇÒ ¼ö ¾ø´Â ³×Æ®¿öÅ©¿¡ ±×´ë·Î ³ëÃâ½ÃÅ°´Â °Ç À§ÇèÇÒ ¼ö ÀÖ´Ù. AJP°¡ ±×´ë·Î ³ëÃâµÉ °æ¿ì °ø°ÝÀڵ鿡°Ô ¾ÖÇø®ÄÉÀÌ¼Ç ¼¹ö·Î °¡´Â ±æÀ» ¿¾îÁÖ´Â °ÍÀ̳ª ´Ù¸§ÀÌ ¾ø´Ù. ¾ÖÃÊ¿¡ ÀÎÅͳݿ¡ ¿¬°áµÇÁö ¾ÊÀº ä, ³»ºÎÀûÀ¸·Î¸¸ È°¿ëµÇµµ·Ï ¸¸µé¾îÁø ±â´ÉÀÌ´Ù. ±×·±µ¥ À©µµ¿ì 10¿ë ÅèĹÀÇ °æ¿ì, µðÆúÆ® ±×´ë·Î ³öµ×À» ¶§ AJP Æ÷Æ® 8009¹øÀÌ ÀÎÅͳݿ¡ ³ëÃâµÈ´Ù´Â °áÁ¡À» °¡Áö°í ÀÖ´Ù.
±êÇãºê¸¦ ÅëÇØ °ø°³µÈ °³³äÁõ¸í ÄÚµå´Â ÆÄÀ̼±À¸·Î ÀÛ¼ºµÇ¾î ÀÖÀ¸¸ç ƯÁ¤ IP ÁÖ¼Ò·Î AJP ¿äûÀ» ¸¸µé¾î Àü¼ÛÇÒ ¼ö ÀÖ°Ô ÇØÁØ´Ù. ÆÄÀÏ °æ·Î³ª À̸§À» ¿äûÇÒ ¼ö ÀÖ°í, Ãë¾àÇÑ ¼¹ö´Â ÀÌ·¯ÇÑ ¹Î°¨ÇÑ Á¤º¸¸¦ °ø°ÝÀÚ¿¡°Ô µÇµ¹·ÁÁØ´Ù. Áï ÅèĹ À¥ ·çÆ®·ÎºÎÅÍ ÀÓÀÇÀÇ ÆÄÀÏÀ» ÃßÃâÇÒ ¼ö ÀÖ°Ô µÇ´Â °Í.
±×·±µ¥ ÀÌ Ãë¾àÁ¡À» °¡Áö°í ÀÖ´Â ÅèĹ ¼¹ö°¡ ÆÄÀÏ ¾÷·Îµå±îÁö Çã¿ëÇÏ´Â »óŶó¸é ¾î¶³±î? ¹°·Ð ÀÌ´Â µðÆúÆ® »ó È°¼ºÈ µÇÁö ¾ÊÀº ±â´ÉÀÌÁö¸¸, »ç¿ëÀÚ°¡ ¿É¼Ç Á¶Á¤À¸·Î ¿¾îµÑ ¼ö ÀÖ´Ù. ±×·± »óŶó¸é °ø°ÝÀÚ°¡ ÀÓÀÇÀÇ Äڵ带 ´ãÀº ÆÄÀÏÀ» ¾÷·Îµå ÇØ ½ÇÇà½Ãų ¼ö ÀÖ°Ô µÈ´Ù. ¿ø°Ý ÄÚµå ½ÇÇà °ø°Ýµµ °¡´ÉÇÏ´Ù´Â °Í.
±×·¯³ª ¿ø°Ý ÄÚµå ½ÇÇà±îÁö À̾îÁö·Á¸é ÆÄÀÏ ¾÷·Îµå¸¦ ÅëÇØ ½ÇÇà½Ãų ¼ö ÀÖ´Â À¥ ¾ÖÇø®ÄÉÀ̼ÇÀ» Ãë¾àÇÑ ÅèĹ ¼¹ö¿¡¼ ¸ÕÀú ã¾Æ³»¾ß ÇÑ´Ù. ¼¹ö¿¡ ÀÌ·± ¾ÖÇø®ÄÉÀ̼ǵéÀ» °ø°ÝÀÚ°¡ ÀÔ¸À´ë·Î ¼³Ä¡ÇÏ´Â °Ç ºÒ°¡´ÉÇϱ⠶§¹®ÀÌ´Ù. ¶ÇÇÑ ¼¹ö ¼³Á¤À» ¡®ÆÄÀÏ ¾÷·Îµå °¡´É¡¯ »óÅ·Π¸¶À½´ë·Î ¹Ù²Ù´Â °Íµµ ºÒ°¡´ÉÇÏ´Ù. ¶ÇÇÑ °ø°³µÈ ÀͽºÇ÷ÎÀÕ Äڵ忡µµ ¿ø°Ý ÄÚµå ½ÇÇà°ú °ü·ÃµÈ ºÎºÐÀº ºüÁ® ÀÖ´Ù.
À§ Ãë¾àÁ¡Àº ÇöÀç ÆÐÄ¡°¡ µÈ »óȲÀÌ´Ù. ¾ÆÆÄÄ¡ ÅèĹ »ç¿ëÀÚµéÀÌ 8.5.51·Î ¹öÀüÀ» ¾÷±×·¹À̵å ÇÒ °æ¿ì, Á¤º¸ ³ëÃâÀ̳ª ¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡À» ¹æÁöÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ±¸ ¹öÀüÀ» À¯ÁöÇؾ߸¸ ÇÏ´Â »óȲÀ̶ó¸é AJP ÀÎÅÍÆäÀ̽º¸¦ »ç¿ëÇÏÁö ¾Ê´Â ÆíÀÌ ¾ÈÀüÇÏ´Ù. ²À »ç¿ëÇؾ߸¸ ÇÑ´Ù¸é ½Å·ÚÇÒ ¼ö ÀÖ´Â ³×Æ®¿öÅ©¿¡¸¸ ¿¬°áÀ» ½ÃÅ°´Â °ÍÀÌ Áß¿äÇÏ´Ù. AJP °ü¸®¸¸ Àß Çصµ ¾î´À Á¤µµ ¾ÈÀüÀ» º¸ÀåÇÒ ¼ö ÀÖ´Ù°í º¸¾È ¾÷ü Ç÷¡½ÃÆ÷ÀÎÆ®(Flashpoint)´Â ÀÚ»ç ºí·Î±×¸¦ ÅëÇØ ¼³¸íÇß´Ù.
±êÇãºêÀÇ ÀͽºÇ÷ÎÀÕÀ» ºÐ¼®ÇÑ Ç÷¡½ÃÆ÷ÀÎÆ®´Â ¡°Ãë¾àÁ¡ °ø·« ³À̵µ°¡ ¸Å¿ì ³·À¸¹Ç·Î ÅèĹÀ» »ç¿ëÇÏ´Â Á¶Á÷µéÀº ¹Ýµå½Ã ÆÐÄ¡¸¦ Àû¿ëÇϰųª AJP ºñÈ°¼ºÈ¸¦ ÇØ¾ß ÇÑ´Ù¡±°í °æ°íÇß´Ù. ½ÇÁ¦ °ø°ÝÀÌ ¹ß»ýÇÒ °¡´É¼ºÀ» ²Ï³ª ³ô°Ô º¸°í ÀÖ´Ù´Â ¼³¸íµµ µ¡ºÙ¾ú´Ù.
3ÁÙ ¿ä¾à
1. ¾ó¸¶ Àü ¹ß°ßµÈ ¾ÆÆÄÄ¡ ÅèĹÀÇ Ãë¾àÁ¡¿¡ ´ëÇÑ ÀͽºÇ÷ÎÀÕ ÄÚµå µîÀå.
2. °ø°Ý ³À̵µ ³·°í ÀͽºÇ÷ÎÀÕµµ °ø°³µÈ ¸¶´çÀ̶ó ½ÇÁ¦ °ø°Ý ¹ß»ýÇÒ °¡´É¼º ³ôÀ½.
3. 7.0, 8.5, 9.0 ¹öÀü Ãë¾àÇÏ°í 8.5.51 ¹öÀü ÆÐÄ¡µÇ¾î ÀÖÀ½.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>