지난 화요일, 어도비가 자사의 콜드퓨전 앱 서버와 관련해 긴급 보안 패치를 배포했다. 올 해 1월 초부터 크래커들이 서버를 공격하는 데 사용해온 네 가지 치명적인 취약점을 보완하기 위한 패치이다.
 
어도비는 이와 더불어 1월에 CVE-2013-0625, CVE-2013-0629, CVE-2013-0631, CVE-2013-0632로 밝혀진 네 가지 취약점에 관한 보안 권고사항을 발표했다. 크래커들은 이 취약점들을 이용해 사용자들을 공격하는 데 악용한 것으로 알려졌다.
 
밝혀진 네 개의 취약점 중 두 개의 취약점은 공격자들이 관리자 액세스 관한을 얻기 위해 콜드퓨전 앱 서버의 일반 인증 제한을 우회하기 위해 사용한 것으로 밝혀졌다. 다른 취약점을 이용한 익스플로잇은 권한이 없는 사용자가 제한된 디렉토리에 접근이 가능하도록 할 수 있으며, 마지막 취약점은 결함이 있는 콜드퓨전 서버의 정보유출도 초래할 수 있었다.
 
이런 취약점을 보완하기 위해 어도비는 콜드퓨전 버전 10, 9.0.2, 9.0.1, 0.0의 핫픽스를 배포했으며, 사용자들이 해당 제품 버전에 대한 도움말 문서에 제공된 지시 사항을 따라 업데이트 버전을 설치하여 사용할 것을 권고했다.
 
현재 해당 취약점들은 치명적인 취약점으로 분류되어 있으며, 어도비는 이와 관련해 배포한 핫픽스의 등급을 가장 먼저 업데이트해야 할 중요도 1순위로 지정했다.
 
<참고사이트>
-www.computerworld.com/s/article/9235894/Adobe_patches
 
About 강정진 객원기자


숙명여자대학교 정보보안동아리 SISS에서 2010년부터 활동. 2011~2012년 부회장으로 활동. 보안분야 관심사는 전반적으로 관심을 두고 있지만 특히 리버싱, 데이터분석에 관심이 있고, 최근에는 하드웨어나 임베디드 시스템에 관심이 있다. 장래 희망은 악성코드 분석가, 혹은 사이버테러대응센터에서 일하고 싶다.
 
[데일리시큐 강정진 객원기자 joonyoul.jk@gmail.com]