그누보드 소셜로그인 API 비밀키 노출 위험 자가패치하세요 정보
그누보드 소셜로그인 API 비밀키 노출 위험 자가패치하세요관련링크
본문
이 문제는 그누보드 5.3 버전부터 현재까지 모든 버전에 해당됩니다.
그누보드에 기본 탑재된 소셜로그인 기능을 이용하고 있으시면 세션 파일을 다운로드하지 못하도록 rewrite 설정을 변경하여 방어하세요.
이슈에 올라온것처럼 소셜로그인 설정의 비밀키가 세션 데이터를 통해 누출되고있으며, 이 세션 데이터를 담은 파일을 다운로드하여 아주 쉽게 비밀키를 획득할수있습니다.
이 비밀키가 노출될 경우 공격자가 API 서비스 이용 한도를 초과하게하여 관련 로그인 또는 함께 사용되는 API 서비스 이용이 일시 차단되거나 과금되는 서비스를 이용 시 추가 과금이 발생할수 있습니다.
rewrite 설정으로 방어 후에 각 서비스에서 비밀키를 재발급하여 변경하시길 권장합니다.
이미 오래전에 공개되어버린 보안이슈이며, 아직 그누보드에서 대응 패치를 하지 않았기 때문에 소셜 로그인 서비스를 이용중인 사이트에서는 패치를 권장합니다.
추천
4
4
베스트댓글
https://sir.kr/cm_free/542079
https://sir.kr/cm_free/756649
무려 11년전인 2011년도에 해당이슈를 언급하는 글이 올라온걸 보면 세션유출 문제는 사실상 그누보드 모든 버전에 해당한다고 볼수 있습니다.
https://sir.kr/cm_free/756649
무려 11년전인 2011년도에 해당이슈를 언급하는 글이 올라온걸 보면 세션유출 문제는 사실상 그누보드 모든 버전에 해당한다고 볼수 있습니다.
댓글 10개
얼른 패치가 됐으면..
https://sir.kr/cm_free/542079
https://sir.kr/cm_free/756649
무려 11년전인 2011년도에 해당이슈를 언급하는 글이 올라온걸 보면 세션유출 문제는 사실상 그누보드 모든 버전에 해당한다고 볼수 있습니다.
https://sir.kr/cm_free/756649
무려 11년전인 2011년도에 해당이슈를 언급하는 글이 올라온걸 보면 세션유출 문제는 사실상 그누보드 모든 버전에 해당한다고 볼수 있습니다.
@YJSoft 세상에 10년 전에 이미 문제를 알고 있었는데도 중간에 농담 따먹기하다가 그냥 방치됐군요.
@jihan03 제로보드4도 비슷한 코드가 존재하는걸로 봐서 그누보드도 4시절엔 어떠한 이유가 있어서 넣은것 같은데(제기억엔 호스팅환경에서 미설정시 세션값이 저장이 안됐었을겁니다) 이제는 불필요한 코드임에도 호환성을 이유로 유지하고 있는것 같습니다.
정상적인 코드라면 $_SESSION을 이용하지 굳이 세션파일을 직접 읽지 않을것이기에 common.php의 session_save_path 부분을 날려도 될겁니다.
정상적인 코드라면 $_SESSION을 이용하지 굳이 세션파일을 직접 읽지 않을것이기에 common.php의 session_save_path 부분을 날려도 될겁니다.
@YJSoft 세션에 대해서 여기저기 찾아봤는데요 기본 세션경로로 두면
웹호스팅에서 세션을 다른사이트와 공유하게되기때문에 더 큰 취약점이 발생하게된다네요
그누의 session_save_path 를 삭제하면안되요..
그래서 그누에서는 세션폴더를 따로 설정한거겠죠
최선의 방법은 아파치의경우 htacces 파일 만들어서 세션폴더 접근을 막아야됩니다.
웹호스팅에서 세션을 다른사이트와 공유하게되기때문에 더 큰 취약점이 발생하게된다네요
그누의 session_save_path 를 삭제하면안되요..
그래서 그누에서는 세션폴더를 따로 설정한거겠죠
최선의 방법은 아파치의경우 htacces 파일 만들어서 세션폴더 접근을 막아야됩니다.
@나리스 그것도 옛날이야기이고... 요즘 제대로 된 호스팅사라면 고객 계정별로 세션폴더를 분리해 놓습니다.
@YJSoft 호스팅사가 알아서 잘해놨으면 좋겠지만 그건 사실 기대에 지나지 않으니 보수적으로 보는게 좀 더 도움이 될것같습니다.
그누보드는 session_save_path를 제거하고 기본 설정을 따라도 ss_mb_key 세션값으로 관리페이지에 접근시 세션고정취약점에 대한 대비가 일부 되어있긴합니다.
세션 경로의 분리가 도움이 안되는건 아닙니다.
세션 파일을 직접 다운로드할수있는게 문제지 뭐 세션고정취약점에 대해서는 일부분이지만 나름 방어는 되어있습니다.
보안취약점이란게 일말의 가능성이 문제가 되기도 하니까요. 커다란 복잡성이나 대비하기위한 방법이 매우 난해하지 않는한 이처럼 간단한 방법으로 해결이 가능하다면 세션저장경로의 분리는 나쁘지않은 선택이라고 봅니다.
뭐 더 좋은건 세션이 어디있든 세션고정취약점에 대비할수있도록 위 ss_mb_key 사례처럼 모든 세션에 대한 보안대응이 확실한 방법이겠죠.
그누보드는 session_save_path를 제거하고 기본 설정을 따라도 ss_mb_key 세션값으로 관리페이지에 접근시 세션고정취약점에 대한 대비가 일부 되어있긴합니다.
세션 경로의 분리가 도움이 안되는건 아닙니다.
세션 파일을 직접 다운로드할수있는게 문제지 뭐 세션고정취약점에 대해서는 일부분이지만 나름 방어는 되어있습니다.
보안취약점이란게 일말의 가능성이 문제가 되기도 하니까요. 커다란 복잡성이나 대비하기위한 방법이 매우 난해하지 않는한 이처럼 간단한 방법으로 해결이 가능하다면 세션저장경로의 분리는 나쁘지않은 선택이라고 봅니다.
뭐 더 좋은건 세션이 어디있든 세션고정취약점에 대비할수있도록 위 ss_mb_key 사례처럼 모든 세션에 대한 보안대응이 확실한 방법이겠죠.
@jihan03 정확히는 폴더까지 분리할 필요는 없고 파일 소유자만 잘 설정되면 되긴합니다. 아이디가 겹치는 부분은 어쩔수 없다 해도 적어도 타인의 세션을 읽을수는 없게 됩니다.(권한없음)
카페24의 경우도 /tmp 하나로 세션이 저장되지만 파일별 소유자가 각기 달라 자신의 계정이 소유한 세션파일이 아니라면 읽을수 없게 되어 있습니다.
그래도 그런 조치조차 하지 않은 곳을 대비해서 설정하는것도 잘못된 방법은 아니긴 하죠. 다만... 그렇게 설정한다면 관리자에게 해당폴더 접근을 차단하라고 적극적으로 알렸어야 했습니다. 저도 그누보드 안써본건 아닌데 이번에 처음 해당사실을 알았을정도니 아직 모르고계신분이 더 많을겁니다.
카페24의 경우도 /tmp 하나로 세션이 저장되지만 파일별 소유자가 각기 달라 자신의 계정이 소유한 세션파일이 아니라면 읽을수 없게 되어 있습니다.
그래도 그런 조치조차 하지 않은 곳을 대비해서 설정하는것도 잘못된 방법은 아니긴 하죠. 다만... 그렇게 설정한다면 관리자에게 해당폴더 접근을 차단하라고 적극적으로 알렸어야 했습니다. 저도 그누보드 안써본건 아닌데 이번에 처음 해당사실을 알았을정도니 아직 모르고계신분이 더 많을겁니다.
@YJSoft 호스팅사들이 잘해줬길 바랍니다.
저도 세션이 이렇게 노출되는지 이번에 깃헙 이슈보고 처음알았습니다.
이것도 당황스러운데 이미 최소 11년 넘게 알려진 문제였다는 것...
저도 세션이 이렇게 노출되는지 이번에 깃헙 이슈보고 처음알았습니다.
이것도 당황스러운데 이미 최소 11년 넘게 알려진 문제였다는 것...
취약점 수정버전 배포되었네요.
https://sir.kr/g5_pds/6462
https://sir.kr/g5_pds/6462
