본문 바로가기
반응형

apache10

[보안공지] Apache Cassandra 보안 업데이트 권고 1. 개요 Apache Cassandra에서 원격 코드 실행이 가능한 취약점이 발견됨에 따라 낮은 버전을 사용 중인 시스템 사용자는 최신 버전으로 업데이트 조치 권고 2. 설명 Apache Cassandra에서 발생하는 원격코드 실행 취약점(CVE-2021-44521) 3. 영향받는 버전 및 해결 방안 제품명 영향받는 버전 최신 버전 Apache Cassandra 3.0.x 3.0.26 3.11.x 3.11.12 4.0.x 4.0.2 4. 참고사이트 https://nvd.nist.gov/vuln/detail/CVE-2021-44521 https://cassandra.apache.org/_/download.html KISA 인터넷 보호나라&KrCERT KISA 인터넷 보호나라&KrCERT www.boho... 2022. 2. 18.
[보안공지] Apache(아파치) HTTP Server 보안 업데이트 권고 1. 개요 Apache(아파치) 소프트웨어 재단은 자사의 HTTP Server에서 발생하는 취약점을 해결한 보안 업데이트 발표 공격자는 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고 2. 설명 Apache HTTP Server에서 널 포인터 역참조로 인해 발생하는 서비스 거부 취약점(CVE-2021-44224) Apache HTTP Server에서 입력값 검증이 미흡하여 발생하는 버퍼오버플로우 취약점(CVE-2021-44790) 3. 영향받는 버전 및 해결 방안 제품 영향받는 버전 최신 버전 Apache HTTP Server 2.4.51 및 이전 버전 2.4.52 버전 4. 참고 사이트 https://httpd.apache.org/securi.. 2021. 12. 23.
[보안공지] Apache Log4j2 보안 업데이트 권고 1. 개요 Apache(아파치) 소프트웨어 재단은 자사의 Log4j 2에서 발생하는 취약점을 해결한 보안 업데이트 권고 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬수 있으므로, 최신 버전으로 업데이트 권고 2. 주요 내용 Apache Log4j 2*에서 발생하는 원격코드 실행 취약점(CVE-2021-44228) 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 3. 영향을 받는 버전 2.0-beta9 ~ 2.14.1 모든버전 4. 해결방안 2.0-beta9 ~ 2.10.0 ndLookup 클래스를 경로에서 제거 : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.clas.. 2021. 12. 11.
[보안공지] Apache HTTP Server 보안 업데이트 권고 1. 개요 Apache 소프트웨어 재단은 자사의 HTTP Server에서 발생하는 취약점을 해결한 보안 업데이트 발표 해당 취약점을 악용한 사례가 발견되어 이용자들의 각별한 주의와 적극적인 업데이트 필요 2. 설명 Apache HTTP Server에서 경로 탐색(Path Traversal)으로 인해 발생하는 정보 노출 취약점(CVE-2021-41773) Apache HTTP Server에서 널 포인터 역참조로 인해 발생하는 서비스 거부 취약점(CVE-2021-41524) Apache HTTP Server에서 경로 탐색(Path Traversal)으로 인해 발생하는 정보노출 취약점(CVE-2021-42013) 3. 영향받는 버전 및 해결 방안 제품 영향받는 버전 최신 버전 Apache HTTP Server.. 2021. 10. 7.
[보안가이드] Apache(아파치) Header Version 정보 노출 방지 Apache(아파치) Web Server(웹서버) 통해서 서비스를 사용하는 경우 기본 설정으로만 서비스 구동 시에 Response Header에 Apache Version이 노출된다. Apache Version이 노출이 되어도 문제가 없다고 생각할 수 있으나, 그 생각은 매우 큰 오산이다. 이렇게 Version이 노출이 된 경우 현재 사용하고 있는 해당 Apache Version에 알려진 취약점을 이용하여 좀 더 쉽게 공격이 가능하다. 쉽게 이야기해 Version 정보를 모른다면 100번만에 공격이 성공될 수 있지만, Version 정보를 안다면 단 한 번만에도 공격이 성공될 수 있다. 그러니 별문제 아니라 생각하지 말고 반드시 서비스를 사용하는 경우 꼭 아래와 같이 설정하여 Apache 정보를 노출하지.. 2021. 7. 31.
[보안가이드] Apache(아파치) User-Agent 제한 설정 Apache(아파치)를 이용하여 서비스 구동 시 해당 서비스에 여러 User-Agent(UA)로 접근이 된다. 이때 정상적으로 사용하는 사용자는 크게 상관이 없으나, 크롤러, 취약점 스캐너 혹은 공격 Tool 등을 이용하여 해당 서비스에 대해서 정보 수집을 하는 경우가 있다. 그럴 경우, 취약점 발견 혹은 서비스 장애 등이 발생되어 현재 사용되는 서비스에 영향을 줄 수 있다. 그렇다면 이런 경우 어떻게 대비를 해야 하는지 아래와 같이 한번 알아보도록 하자. Apache에서는 이런 경우를 대비하기 위해 User-Agent 제한을 하거나 특정 User-Agent만 사용하도록 할 수 있다. 1. User-Agent 제한 설정 Apache의 기본 설정 파일인 http.conf 파일에 아래와 같이 설정하여 Use.. 2021. 7. 31.
[KISA] Apache Tomcat 서비스 거부 취약점 보안 업데이트 권고 □ 개요 o Apache 소프트웨어 재단은 Apache Tomcat에서 발생하는 서비스 거부 취약점을 해결한 보안 업데이트 발표 o 취약점 버전을 사용 중인 이용자는 해결 방안에 따라 최신 버전으로 업데이트 권고 □ 설명 o Tomcat에서 조작된 HTTP/2 요청 메시지를 수신받는 경우 메시지 처리가 미흡하여 발생하는 서비스거부 취약점(CVE-2020-11996) [1] □ 영향을 받는 버전 o Apache Tomcat - 8.5.0 ~ 8.5.55 - 9.0.0.M1 ~ 9.0.35 - 10.0.0-M1 ~ 10.0.0-M6 □ 해결 방안 o 각 버전에 해당되는 페이지를 참고하여 최신 버전으로 업데이트 적용 - 8.5.56 이상 버전 [2] - 9.0.36 이상 버전 [3] - 10.0.0-M6 이상.. 2020. 6. 30.
[보안공지] Apache Tomcat 취약점 보안 업데이트 권고(KISA) □ 개요 o Apache Tomcat에서 신규 취약점을 해결한 보안 업데이트 발표[1] o 취약한 버전을 사용 중인 서버의 담당자는 제조사의 홈페이지를 참고하여 최신 버전으로 업데이트 권고 ※ Apache Tomcat : 오픈소스 기반 웹 어플리케이션 서버 □ 설명 o Apache Tomcat에서 특정 조건*이 성립되는 경우, 공격자의 악성 요청 메시지가 역직렬화되어 발생하는 임의코드 실행 취약점(CVE-2020-9484) [1] * 특정조건 1. 톰캣 서버의 PersistenceManager가 Filestore를 사용하도록 설정된 경우 2. PersistenceManager의 sessionAttributeValueClassNameFilter 항목이 "null"로 설정되거나 공격자가 제공한 객체의 검증이.. 2020. 5. 26.
[Apache] 프로세스 계정 권한 설정 Apache 구동 계정이 root 권한 혹은 Shell 권한이 있는 계정으로 구동 시 취약점을 통해 웹 서버 탈취시 공격자는 해당 권한 혹은 Shell 권한을 획득 하여 추가 공격할 수 있습니다. 해당 내용을 미연에 방지 하기 위해 Apache 구동 계정은 root 권한은 가지지 않거나, 구동 계정에 Shell 권한도 제거 합니다. 기본적으로 Apache의 경우 apache 계정으로 설정 되어 있습니다. Apache 구동전에 반드시 해당 계정의 Shell 권한을 Check 하고, Shell 권한을 제거 하여 사용도록 합니다. $ cat /etc/passwd + 패스워드 파일에서 계정 쉘 권한 제거 기본 설정 : apache:65534:65534:apache:/www:/bin/bash 제거 설정 : apa.. 2019. 9. 19.
[Info] SSL & Cipher Configuration Generator 해당 사이트에서 Apache / Nginx / Lighttpd등의 웹 어플리케이션에 대한 SSL / Cipher 값을각 버전에 맞게 생성 해주고 있다. 참고 문서 : https://mozilla.github.io/server-side-tls/ssl-config-generator/ 2016. 12. 10.
728x90
300x250

loading