메인 콘텐츠로 건너뛰기
모든 제품 보기
컴퓨팅
스토리지
데이터베이스
네트워킹
개발자 툴
전송
보안
서비스
업계
가격
커뮤니티
저희와 함께하세요
블로그 살펴보기
카테고리
14
  1. 클라우드 컨설팅 서비스
    4
  2. 클라우드 개요
    49
  3. 컴퓨팅
    11
  4. 컨테이너(쿠베르네츠, 도커)
    32
  5. 데이터베이스
    18
  6. 개발자 툴
    33
  7. Linode
    245
  8. Linux
    69
  9. Multicloud
    4
  10. 네트워킹
    29
  11. 오픈 소스
    5
  12. 파트너 네트워크
    7
  13. 보안
    59
  14. 스토리지
    21
저자 48
  1. Abe Massry 2
  2. Al Newkirk 1
  3. Alexander Newnham 2
  4. Andrew Sauber 1
  5. Andrew Stebbins 2
  6. Andy Stevens 4
  7. Bradley LaBoon 1
  8. Blair Lyon 11
  9. Billy Thompson 7
  10. Christopher Aker 176
  11. Cassie Bubnis 1
  12. Daniele Polencic 4
  13. David Monschein 2
  14. David Rodriguez 1
  15. Dan Spataro 2
  16. Elvis Segura 1
  17. Gardiner Bryant 1
  18. Holden Morris 4
  19. Hillary Wilmoth 59
  20. Jim Ackley 5
  21. Jessica Capuano Mora 1
  22. Justin Cobbett 11
  23. Jon Frederickson 1
  24. Jonathan Hill 2
  25. Justin Mitchel 4
  26. James Steel 5
  27. Jamie Sherkness 8
  28. Linode 52
  29. Linode Events 8
  30. The Linode Security Team 122
  31. The Linode Network & Security Teams 1
  32. LINQ 1
  33. Leslie Salazar 1
  34. Michelle Berg 1
  35. Mitch Donaberger 1
  36. Mike Fischler 1
  37. Mike Maney 10
  38. Maddie Presland 16
  39. Mike Quatrani 4
  40. Nathan Melehan 2
  41. Nigel Poulton 1
  42. Rick Myers 7
  43. Richard Tubb 1
  44. Sal Carrasco 1
  45. Shawn Michels 1
  46. Linode Support 12
  47. Tom Asaro 18
  48. Talia Nassi 6
블로그 안전 Linode Security Digest July 24-31, 2022

Linode Security Digest July 24-31, 2022

Linode
The Linode Security Team
칠월 28, 2022
리노드 시큐리티 다이제스트

이번 주에는 새로 발견 된 OpenJDK 취약점, Redis의 힙 오버플로 취약점 및 Drupal 코어의 임의의 PHP 코드 실행에 대해 다룰 것입니다.

OpenJDK 취약점

OpenJDK는 지난 주 네 가지 취약점이 포함 된 보안 권고 안을 발표했습니다. 

CVE-2022-21541 은 여러 프로토콜을 통해 네트워크 액세스 권한이 있는 인증되지 않은 공격자가 Java를 손상시킬 수 있도록 하는 핫스팟/런타임 구성 요소의 취약점을 악용하기 어려우며, 이로 인해 중요한 데이터 또는 모든 openjdk 액세스 가능 데이터에 대한 무단 생성, 삭제 또는 수정 액세스가 발생할 수 있습니다. 

CVE-2022-21540 핫스팟/컴파일러 구성 요소에 존재하며 인증되지 않은 공격자가 여러 프로토콜을 통해 네트워크에 액세스할 수 있도록 허용하여 openjdk 액세스 가능한 데이터의 하위 집합에 대한 무단 읽기 액세스를 허용하는 쉽게 악용할 수 있는 결함입니다. 이 cve는 데이터의 기밀성에 미치는 영향이 적습니다.

core-libs/java.util 구성 요소의 CVE-2022-21549로 인해 openjdk에 액세스할 수 있는 일부 데이터에 대한 액세스가 무단 업데이트, 삽입 또는 삭제될 수 있습니다.

참고: 세 가지 취약성 모두 신뢰할 수 없는 코드(예: 인터넷에서 제공되는 코드)를 로드 및 실행하고 보안을 위해 Java 샌드박스에 의존하는 Java 배포(일반적으로 샌드박스가 적용된 Java Web Start 애플리케이션 또는 샌드박스가 적용된 Java 애플릿)에 적용됩니다. 이러한 취약점은 지정된 구성 요소에서 API를 사용하여, 예를 들어 API에 데이터를 제공하는 웹 서비스를 통해 악용될 수도 있습니다. 

CVE-2022-34169 는 에서 정수 잘림 문제입니다.  Apache 자단 자바 XSLT 라이브러리. 내부 XSLTC 컴파일러에서 생성된 Java 클래스 파일을 손상시키고 임의의 Java 바이트 코드를 실행하는 데 사용할 수 있습니다.

Redis의 힙 오버플로

Redis는 종종 데이터 구조 서버라고합니다. 이것이 의미하는 바는 Redis가 TCP 소켓과 간단한 프로토콜이있는 서버 - 클라이언트 모델을 사용하여 전송되는 명령 세트를 통해 변경 가능한 데이터 구조에 대한 액세스를 제공한다는 것입니다. 따라서 서로 다른 프로세스가 공유 방식으로 동일한 데이터 구조를 쿼리하고 수정할 수 있습니다.

특정 상태의 스트림 키에서 특수하게 조작된 XAUTOCLAIM 명령을 통해 범위를 벗어난 쓰기에 의해 트리거될 수 있고 잠재적으로 원격 코드 실행으로 이어질 수 있는 힙 오버플로 조건이 있습니다. CVE-2022-31144 는 Redis 버전 7.0.0 이상에 영향을 줍니다. 이 문제는 Redis 버전 7.0.4에서 수정 되었습니다.

드루팔 코어 – 임의 PHP 코드 실행 취약점

Drupal은 네 가지 유형의 취약점을 설명하는 네 가지 권고 를 발표했습니다. 그 중 하나는 "비판적"이고 다른 세 명은 "적당히 비판적"으로 평가되었습니다. CVE-2022-25277로 추적되는 "심각한" 취약점은 Drupal 9.3 및 9.4에 영향을 미칩니다. 이 문제는 Drupal 코어에 영향을 미치며 임의의 PHP 코드가 실행될 수 있습니다. Apache 특수하게 조작된 파일을 업로드하여 웹 서버.

나머지 세 가지는 드루팔에 따르면 적당히 비판적이다.

CVE-2022-25276 은 Media oEmbed iframe 경로가 iframe 도메인 설정의 유효성을 제대로 검사하지 못하기 때문에 사이트 간 스크립팅, 쿠키 유출 또는 기타 취약점으로 이어질 수 있으며, 이로 인해 기본 도메인의 컨텍스트에 임베드가 표시될 수 있습니다.

특정 상황에서 Drupal 코어 형태 API 양식 요소 액세스를 잘못 평가합니다. CVE-2022-25278 로 인해 사용자가 액세스 권한이 없어야 하는 데이터를 변경할 수 있습니다.

CVE-2022-25275 는 이미지 스타일 시스템을 사용하여 파생 이미지를 생성할 때 Image 모듈이 표준 공용 파일 디렉토리에 저장되지 않은 이미지 파일에 대한 액세스를 올바르게 확인하지 못하는 경우에 발생합니다.

Drupal 9.4.3 또는 9.3.19로 업그레이드하여 이러한 취약점에 대한 패치를 적용합니다. 참고: 9.3.x 이전의 Drupal 9의 모든 버전은 수명이 다하며 보안 적용 범위를 받지 않으며 Drupal 8은 수명이 다했습니다. Drupal 7 코어는 영향을받지 않습니다.

추천 사항

SSL, TLS 및 HTTPS의 작동 원리 동영상 썸네일

SSL, TLS, HTTPS의 작동 원리 | 안전한 연결 유지

이 동영상에서는 @gardiner_bryant가 HTTPS(하이퍼 텍스트 전송 프로토콜 보안)와 SSL 및 TLS가 연결을 안전하게 유지하는 방법에 대해 설명합니다.
보안
리노드 시큐리티 다이제스트
Linode

리노드 보안 다이제스트, 2023년 7월 24일 - 7월 30일

2023년 7월 28일
으로 The Linode Security Team
이번 주 이번 주: Confluence 데이터 센터 및 Server 원격 코드 실행, ColdFusion 및 Open SSH/ssh-에이전트 원격 코드 실행, Zenbleed.
보안
리노드 시큐리티 다이제스트
Linode

리노드 보안 다이제스트, 2023년 7월 3일 - 7월 9일

2023년 7월 7일
으로 The Linode Security Team
이번 주 다이제스트에서는 두 가지 중요한 마스토돈 취약점에 대해 설명합니다.
보안

댓글 (1)

  1. Author Photo
    ismail attar

    Security Digest i was finding thanks for value

    Reply

댓글 남기기

이메일 주소는 게시되지 않습니다. 필수 필드가 표시됩니다 *