보안동향

최신 보안정보를 신속하게 전해드립니다.

Apache Struts 2 취약점 보안 업데이트 권고

2020-12-11

개요
 o Apache Software Foundation Struts2에 존재하는 OGNL(Object-Graph Navigation Language) 기술과 관련된원격 코드 실행취약점을 수정하기 위한 보안 업데이트를 공개
 o 원격 공격자는 이 취약점을 악용하여 영향을 받는 시스템을 제어할 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고


설명 [1]
 o %(…) 구문을 사용하여 강제 OGNL 평가를 적용할 경우 이중 평가를 수행할 수 있는 취약점
 o 사용자 입력을 평가할 때 수행되는 강제 OGNL 평가는 S2-059(CVE-2019-0230)와 유사하게 원격 코드 실행이 가능

 


영향을 받는 제품

 o Apache Struts 버전 2.0.0 ~ 2.5.25

 

 
해결 방안
 o 취약점이 해결된 버전으로 업데이트 수행
  - Struts 2.5.26 이상으로 업그레이드 [3]
 o 사용자 입력에 대해 강제 OGNL 평가를 사용하는지 확인하고 이에 대한 평가를 사용하지 않아야 하며 보안 권장 사항을 따르는 것을 권고[4]

 

[참고사이트]
[1] https://us-cert.cisa.gov/ncas/current-activity/2020/12/08/apache-releases-security-update-apache-struts-2

[2] https://cwiki.apache.org/confluence/display/WW/S2-061

[3] https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26

[4] https://struts.apache.org/security/#do-not-use-incoming-untrusted-user-input-in-forced-expression-evaluation

[5] https://securityaffairs.co/wordpress/112089/security/struts-2-flaw.html

목록