3개 취약점에 대한 보안패치...8일 릴리즈 될 예정
지난주 목요일 어도비가 콜드퓨전(ColdFusion) 사용자에게 3개의 취약점이 감염된 ColdFusion이 Windows, Mac OS 그리고 UNIX 플랫폼에서 실행되고 있는지 확인을 요하는 권고문을 발표했다.이 보안문제는 ColdFusion 10, 9.0.2, 9.0.1 그리고 9.0으로 Windows, Mac OS X, UNIX 운영체제에 해당된다. 그리고 만약 익스플로잇을 당하게 되면 공격자가 원격에서 인증컨트롤을 우회할 수 있고, 제한된 디렉터리에 액세스할 수 있으며, 감염된 서버에서 데이터를 유출할 수 있다.
지난 금요일 늦은 밤에, 어도비의 보안대응팀(PSIRT)가 취약점(www.adobe.com/support/security/advisories/apsa13-01.html)을 발표했으며, 2013년 1월 15일 hotfix 패치를 발표하기 위해 작업 중에 있다고 밝혔다.
3개의 취약점은 아래와 같다.
•CVE-2013-0625 : ColdFusion 10, 9.0.2, 9.0.1, 9.0 에서 인증되지 않은 사용자가 원격으로 인증컨트롤을 우회, 잠재적으로 공격자가 감염된 서버를 제어할 수 있게 허용한다.
•CVE-2013-0629 : ColdFusion 10, 9.0.2, 9.0.1, 9.0 에서 인증되지 않은 사용자가 제한된 디렉터리에 접근할 수 있게 허용한다.
•CVE-2013-0631 : ColdFusion 10, 9.0.2, 9.0.1, 9.0 에서 서버로부터 정보를 유출할 수 있다.
어도비에 따르면 CVE-2013-0625와 CVE-2013-0629는 패스워드 보호기능을 사용하지 않거나, 패스워드를 사용하지 않는 사용자만 피해를 받을 것이라고 밝혔다.
자세한 정보, 대응 방법은 ColdFusion Security Advisory (blogs.adobe.com/psirt/2013/01/security)에서 확인할 수 있다.
지난주 목요일 어도비는 업데이트를 Adobe Reader와 Acrobat에 영향을 미치는 중요한 취약점을 해결하는 마이크로소프트의 패치와 같이 내보일 수 있다고 밝혔다.
보안 업데이트는 1월 8일에 릴리즈 될 예정이며, Adobe Reader와 Acrobat XI(11.0.0) 그리고 그 이전버전의 윈도우, 매킨토시용 제품뿐만 아니라 Adobe Reader 9.5.1버전 과 9.x 이전 버전의 리눅스용 제품의 문제를 패치 할 것이다.
<참고사이트>
-www.securityweek.com/adobe-warns-attacks-exploiting
About 김민주 객원기자
TeamWANG 소속. ISEC2009, 2009 순천향대, 2012 시큐인사이드, 2012 HUST 등 여러 해킹대회 참가. 동아리 활동은 DoRoSiRus(2009), Trace(2009~2010), TempTMP(2012), TeamWang(2012) 등에서 활동. 보안분야 관심사는 System Hacking, Virus 등. 주요 연구 내용은 시스템 제로데이, NFC 해킹 등 시스템 관련 내용들이다. 장래 희망은 보안전문가가 되는 것
[데일리시큐 김민주 객원기자 brian020305@gmail.com]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지