2024-03-29 04:55 (금)
어도비, ColdFusion, Campaign 코드 실행 등 여러 이슈 패치
상태바
어도비, ColdFusion, Campaign 코드 실행 등 여러 이슈 패치
  • hsk 기자
  • 승인 2019.06.13 11:12
이 기사를 공유합니다

coding-1841550_640.jpg
어도비가 2019년 6월 보안 업데이트를 통해 플래시 플레이어, ColdFusion과 Campaign 제품의 주요 임의 코드 실행 취약점을 해결했다.

ColdFusion에서 중요한 명령 주입, 파일 확장자 블랙리스트 우회와 비직렬화 취약점을 수정했다. 이 취약점들로 인해 시스템에서 임의 코드 실행이 가능하다. ColdFusion의 결함 목록은 아래와 같다.

-파일 확장자 블랙리스트 우회 || 임의 코드 실행 가능 || 심각 수준 || CVE-2019-7838

-명령 삽입 || 임의 코드 실행 가능 || 심각 수준 || CVE-2019-7839

-신뢰할 수 없는 데이터의 비직렬화 || 임의 코드 실행 가능 || 심각 수준 || CVE-2019-7840

해당 결함은 ColdFusion 2016, 2018 그리고 11에 영향을 미친다. 어도비는 이들 결함을 보고한 Knownsec 404팀, Moritz Bechler(SySS GmbH), 그리고 Brenden Meeder(Booz Allen Hamilton)의 공로를 인정했다. 또한 어도비 LiveCycle 데이터 관리 기능 원격 액세스를 기본적으로 비활성화 했다고 공지했다.

임의 코드가 실행될 수 있는 use-after-free 취약점(CVE-2019-7845)도 패치 완료했다. 이는 ZDI를 통해 익명으로 보고된 취약점이다.

보안 권고는 “어도비는 윈도우, macOS, 리눅스 및 크롬OS 용 어도비 플래시 플레이어 대상 보안 업데이트를 발표했다. 이 업데이트는 심각 수준 취약점을 해결한다. 공격자는 성공적인 익스플로잇을 통해 현재 사용자의 컨텍스트에서 임의 코드를 실행할 수 있다”고 설명한다.

마지막으로 정보 공개, 임의 파일 읽기 및 코드 실행 문제를 포함해 캠페인 제품에서 7가지 취약점도 패치되었다. CVE-2019-7850으로 추적된 취약점은 임의 코드 실행이 가능한 명령 주입 결함이다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★