제 목 : 아파치(Struts 2) 관련 보안취약점 긴급패치 웹/WAS 서버 대상 확대 件



7.18일 16:17분 旣 공지 드린 보안취약점은

아파치 Sturts 2에서 발견된 보안취약점이며,

기존 아파치 웹서버 뿐만 아니라 WebToBe, iPlanet 등 타 기종에서 아파치 Sturts 2를 적용했을 경우,

보안취약점이 존재합니다.
따라서, 아래와 같이 웹서버 조사 및 패치대상 확대가 필요합니다.



- 아 래 -



□ 보안취약점 대상

- 보안취약 대상 : Apache Struts 2.0.0 ~ Sturts 2.3.15

- 대상 웹/WAS : Apache, WebToBe, iPlanet, WebLogic, WebSphere, TomCat 등
Java 기반 웹/WAS 서버

※ Apache Struts : Java EE 웹 애플리케이션을 개발하기 위한 오픈소스 프레임워크

※ Apache Struts 를 사용하지 않으면 해당사항 없음



□ 보안취약점 내용

- 해당 취약점을 이용하여 원격에서 코드실행이 가능

ㆍ웹서버 내부정보(계정, 파일 등) 탈취 가능

- 임의의 위치(URL)로 사용자를 Redirect 가능



□ 긴급 조치 방안

- 운영중인 웹서버 중 Apache Struts 프레임워크를 사용하여 개발한 웹서버 조사

- Apache Struts 2.0.0 ~ Sturts 2.3.15 버전을 사용했는지 조사

- Apache Struts 2.3.15.1 로 패치 적용

ㆍhttp://struts.apache.org/download.cgi#struts 23151





□ 참조

- Apache Struts 보안취약점 관련 페이지

ㆍhttp://www.computerworld.com/s/article/9240849/Apache_Struts_security_update_fixes_critical_vulnerabilities

- 해당 취약점은 S2-016, S2-017로 이미 아피치 웹 공식 사이트의 보안 공지에 해결 방법을

설명하고 있으며, 이를 참조하여, 조치 요망

ㆍS2-016: http://struts.apache.org/release/2.3.x/docs/s2-016.html

ㆍS2-017: http://struts.apache.org/release/2.3.x/docs/s2-017.html