□ 개요
o 지란지교소프트社는 자사 나모 웹에디터 제품군의 취약점 제거 및 보안성을 강화한 최신버전을 발표, 최신버전으로 업데이트 권고
- 크로스에디터(CrossEditor)제품의 취약점을 해결한 보안 업데이트 발표
- 크로스업로더(CrossUploader)제품의 보안을 강화한 최신버전 발표
o 웹페이지 구축 및 운영 시 파일 업로드 기능을 사용할 경우, 웹셸 등 악성파일 업로드 방지를 위한 보안설정 강화 권고
□ 주요내용
o CrossEditor에서 확장자 검증 미흡으로 인해 발생하는 실행 가능 파일 업로드 취약점 개선
o CrossUploader에서 악성파일 업로드 방지를 위해 보안설정 강화
o 이외의 제품 사용 중에도 파일 업로드 보안정책 설정이 취약한 경우 악성파일 업로드가 가능할 수 있어 보안설정 점검 및 보안 강화 필요
□ 권고사항
o CrossEditor 및 CrossUploader를 사용하는 기업 및 기관은 지란지교소프트社를 통해 최신버전으로 업데이트
- CrossEditor 4.5.0.06 버전 이상으로 업데이트
- CrossUploader 2.0.02 버전 이상으로 업데이트
o 웹페이지를 운영하는 기업 및 기관은 파일 업로드 기능 보안설정 강화
- 파일 업로드 정책의 기본 설정을 반드시 확인하고, exe, jsp, html 등 실행 파일 업로드 차단 기능을 반드시 설정
- 파일이 업로드되는 폴더의 경우, 실행되지 않도록 "실행" 속성은 제거하고 "읽기" 속성만 가능하도록 설정
- 주기적으로 보호나라를 통해 내서버 돌보미 서비스를 신청하여 서버 점검을 받거나, 웹쉘 탐지프로그램인 휘슬(WHISTLl)을 사용하여 서버 내 악성 파일이 존재하는지 여부 점검
* 신청방법 : 보호나라 > 정보보호서비스 > 기업서비스 > 서비스 신청하기 > 내서버 돌보미 혹은 중소기업 홈페이지 보안강화(휘슬) 신청
□ 기타 문의사항
o 지란지교소프트 : 031-608-4100
o 한국인터넷진흥원 사이버민원센터: 국번없이 118
□ 작성 : 취약점분석팀
'[IT 알아보기] > 보안 이슈' 카테고리의 다른 글
| [보안 이슈] Barracuda 제품 보안 업데이트 권고 (0) | 2023.06.02 |
|---|---|
| [보안 이슈] Cisco 제품 보안 업데이트 권고 (0) | 2023.05.25 |
| [보안 이슈] WordPress 제품 보안 업데이트 권고 (0) | 2023.05.18 |
| [보안 이슈] 리눅스 권한 상승 취약점 보안 업데이트 권고 (0) | 2023.05.18 |
| [보안 이슈] MS 5월 보안 위협에 따른 정기 보안 업데이트 권고 (0) | 2023.05.18 |