[KRCERT]라온위즈(주) 제품 보안 업데이트 권고

내용 요약

라온위즈(주)에서 RAON K Upload 2018 서버 라이브러리의 취약점 해결을 위한 보안 업데이트를 발표했습니다. 파라미터 값 검증 미흡으로 발생하는 파일 업로드, 디렉토리 리스팅, 파일 다운로드, 스크립트 실행(XSS) 취약점이 수정되었으며, 영향받는 버전의 사용자는 최신 버전으로 업데이트해야 합니다.

핵심 포인트

• RAON K Upload 2018 서버 라이브러리에서 심각한 보안 취약점 발견.
• 취약점 종류: 파일 업로드, 디렉토리 리스팅, 파일 다운로드, 스크립트 실행(XSS).
• 원인: 파라미터 값 검증 미흡.
• 해결 방안: 최신 버전으로 업데이트.
• 영향받는 버전: JAVA - 2018.1548512.1555.44 이하, Microsoft .Net - 2018.1548512.1555.29 이하.
• 해결 버전: JAVA - 2018.1548512.1555.45 이상, Microsoft .Net - 2018.1548512.1555.30 이상.

기술 세부 내용

1️⃣ 파일 업로드 취약점 (File Upload Vulnerability)

• 공격자가 의도하지 않은 파일(악성코드 등)을 서버에 업로드할 수 있는 취약점입니다.
• 파라미터 값 검증 미흡으로 인해 발생하며, 공격자는 이 취약점을 악용하여 웹쉘 업로드, 악성 스크립트 실행 등 서버를 장악할 수 있습니다. ️
• RAON K Upload 2018 서버 라이브러리에서 해당 취약점이 발견되었으며, 업데이트를 통해 해결되었습니다.

2️⃣ 디렉토리 리스팅 취약점 (Directory Listing Vulnerability)

• 서버의 디렉토리 구조와 파일 목록이 노출되는 취약점입니다.
• 공격자는 이를 통해 서버의 중요 정보를 파악하고, 다른 취약점 공격을 위한 정보를 수집할 수 있습니다.
• RAON K Upload 2018 서버 라이브러리의 파라미터 값 검증 미흡으로 인해 발생했으며, 업데이트를 통해 수정되었습니다.

3️⃣ 파일 다운로드 취약점 (File Download Vulnerability)

• 인가되지 않은 파일을 다운로드할 수 있는 취약점입니다.
• 공격자는 이를 통해 서버의 중요 파일(설정 파일, 데이터베이스 파일 등)을 탈취할 수 있습니다.
• RAON K Upload 2018 서버 라이브러리에서 발견되었으며, 업데이트를 통해 해결되었습니다.

4️⃣ 스크립트 실행 취약점 (Cross-Site Scripting, XSS)

• 공격자가 악성 스크립트를 웹 페이지에 삽입하여 사용자의 브라우저에서 실행되도록 하는 취약점입니다.
• 사용자의 쿠키, 세션 정보 탈취, 피싱 공격 등에 악용될 수 있습니다.
• RAON K Upload 2018 서버 라이브러리에서 XSS 취약점이 발견되었고, 업데이트를 통해 패치되었습니다.

5️⃣ 파라미터 값 검증 미흡 (Insufficient Parameter Validation)

• 이번에 발견된 모든 취약점의 근본적인 원인입니다.
• 서버에서 클라이언트로부터 받는 입력값(파라미터)을 제대로 검증하지 않아 발생합니다.
• 입력값 검증은 웹 애플리케이션 보안의 기본적인 요소이며, 이를 소홀히 할 경우 다양한 보안 취약점에 노출될 수 있습니다. ❗

6️⃣ Server Library

• RAON K Upload 서버 모듈을 의미합니다. 이 모듈에 존재하는 취약점으로 인해 위에서 언급한 문제들이 발생했습니다.
• 따라서, Server Library를 최신 버전으로 업데이트하는 것이 중요합니다.

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6508