오늘의 신규 보안 취약점 맛보기는 WordPress의 Automatic 플러그인에서 발생한 SQL Injection 취약점 입니다. WordPress는 웹사이트 제작에 널리 사용되는 오픈 소스 소프트웨어로, 많은 사람들이 이를 활용하고 있습니다. 이 중 Automatic 플러그인은 타 웹사이트의 콘텐츠를 자동으로 게시하는 기능을 제공하는 플러그인입니다. 위험도는 CVSS 9.8 입니다. 역시 SQL Injection 취약점이라 위험도가 높네요.CVE제품/서비스 명취약버전양호버전CVE-2024-27956Automatic 플러그인3.92.0 이하3.92.1 이상[1] 따로 특별한 PoC는 없지만 Automatic 플러그인의 취약버전에서사용자의 매개변수에 대한 유효성 검증이 충분하지 않아 SQL Inject..
오늘의 신규 보안 취약점 맛보기는 공유기 펌웨어에서 발견된 RCE(원격 코드실행) 취약점 입니다. Tp-Link의 Archer AX21은 아래 이미지 처럼 생긴 공유기입니다.디자인도 그렇고 가격이나 스팩 모두 나쁘지 않아 사용하시는 분들이 꽤나 있는것으로 알고 있습니다. 해당 공유기의 펌웨어에서 CVE-2023-1389 RCE 취약점이 발견되었으며 위험도는 8.8 High 입니다.해당 공유기를 사용하고 계시는 분이 있다면 아래 내용과 관련 사이트를 참고하여 업데이트를 진행해주시기 바랍니다.CVE제품/서비스명취약버전양호버전CVE-2023-1389Archer AX21V1.20_230426 미만V1.20_230426 이상V1.26_230426 미만V1.26_230426V2_230426 미만V2_230426 이..
오늘의 신규 보안 취약점 맛보기는 ArubaOS 버퍼오버플로우 취약점입니다.근데..ArubaOS가 뭔지 일단 알아보고 정리 해보도록 하겠습니다. HPE Aruba Networking社에서 나온 운영체제이고, Aruba Central 관리형 액세스 포인트 및 게이트웨이를 위한 차세대 분산형 OS라고 하네요. 사이트에서는 아래와 같은 관련 제품이 있다고 하는데 참고하시면 됩니다. CVE제품/서비스명취약버전양호버전CVE-2024-26304(버퍼오버플로우)ArubaOS10.5.1.0 이하10.6.0.0 이상10.5.1.1 이상CVE-2024-26305(버퍼오버플로우) 10.4.1.0 이하10.4.1.1 이상CVE-2024-33511(버퍼오버플로우) 8.11.2.1 이하8.11.2.2 이상CVE-2024..
1. 개인정보 수집단계- 해당 단계에서 주의해야 할 부분은 개인정보를 제공하는 이용자에게 동의를 얻는 과정에서 반드시 알려야 할목을 명확하게 표시하여 관련 법률을 위반하지 않아야 한다.※ 정보통신망법: 개인정보 수집 항목, 목적, 이용기간 (3가지) 개인정보보호법: 개인정보 수집 항목, 목적, 이용기간, 동의거부시 불이익(4가지)- 특히 법률에서 주민등록번호, 민감정보, 고유식별정보 수집을 제한하는 항목을 확인하여 위법한 수집이 되지 않도록 주의가 필요하다.※ 주민등록번호 수집은 법에서 정한 경우에만 가능하며 동의받아도 불가능하다. 법에서 정하는 일정 규모 이상의 개인정보처리자는 타 기관으로부터 제공받은 개인정보가 있을 경우, 3개월 이내 해당 정보 주체에게 통보해야 한다. 2. 개인정보 보유..
CVE제품명설명취약한 버전CVE-2024-2961glibcGNU C Library versions 2.39 이하 버전의 iconv() 함수에서 중국어 언어 세트인 ISO-2022-CN-EXT 문자 세트로 변환할 때, 전달된 출력 버퍼를 최대 4바이트까지 오버플로우 할 수 있습니다. 이를 통하여 애플리케이션을 충돌시키거나 인접 변수를 오버라이팅하는데 사용될 수 있습니다.2.39 이하 - 원인: ISO-2022-CN-EXT는 문자 집합 변경을 나타내기 위해 이스케이프 시퀀스를 사용합니다. (RFC 1922에 명시됨). SOdesignation은 예상 경계 확인 로직이 있습니다. 하지만 SS2designation 및 SS3designation에서는 '$+I', '$+J', '$+K', '$+L', '..
2024.05.02 기준 관리체계 인증하려는 회사의 법적 준수사항이 의무대상자인지 임의 신청자인지 구분이 필요합니다.1. 임의신청자는 정보보호 관리체계를 구축 운영하여 적합성 여부의 판단을 원하는 모든 조직 → 즉, 희망자 모두2. 의무대상자는 정보통신망에 미치는 영향이 크고 사회 경제적 파급력이 큰 조직 구분의무대상자 기준ISP전기통신사업법 제6조 제1항에 따른 허가를 받은자로서 서울특별시 및 모든 광역시에 정보통신서비스를 제공하는 자IDC정보통신망법 제46조에 따른 집적정보통신시설사업자다음의 조건 중 하나라도 해당하는 자1. 연간 매출액 또는 세입이 1,500억원 이상인 자 중 - 의료법 제3조의4에 따른 상급종합병원- 직전연도 12월 31일 기준, 재학생수가 1만명 이상인 고등교육법 제2조에 따른 ..
정보통신서비스 사업자가 개인정보 이전시에는 정보통신망법과 개인정보보호법의 적용을 받습니다. (물론 정보통신서비스 사업자는 우선적으로 정보통신망법이 적용됩니다.) 관련 법안으로 정보통신망법 제26조 (영업의 양수 등에 따른 개인정보의 이전)개인정보보호법 제 27조 (영업 양도 등에 따른 개인정보의 이전 제한) 가 있습니다. 1. 정보통신서비스 제공자등이 영업의 전부 또는 일부의 양도·합병 등으로 그 이용자의 개인정보를 타인에게 이전하는 경우에는 미리 다음 각 호의 사항 모두를 인터넷 홈페이지 게시, 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알려야 합니다.- 개인정보를 이전하려는 사실- 개인정보를 이전받는 자(이하 "영업양수자등"이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다. 이하 ..
안녕하세요.Android OS 단말 중 일부 단말에서 지원하는 USIM Hot Swap 기능을 가진 단말에서 USIM 변경시 애플리케이션 단에서 확인하는 방법에 대해서 알아보려 합니다.USIM Hot Swap단말은 주로 2016년 이후 출시 단말에 탑재 되었으며 삼성은 갤럭시 s7이후, LG는 G5이후 일부 단말이 해당 기능을 지원하고 있습니다.USIM의 변경 여부를 확인하는 것은 인텐트의 엑스트라에 값 "LOADED"가있는 키 "ss"가 포함 된 이벤트로 제한할 수 있습니다. 하지만 변경 사항이 있는지 항상 확인하는 것이 더 안전합니다. ※ Hot, Warm, Cold 스왑 비교Hot swap: 점진적 변화에 대해 새로 런치하거나 현재 액티비티를 실행하지 않고 앱에 반영하는 방식으로 메소드 실행 내부의..
- Total
- Today
- Yesterday
- 점검가이드
- archer-ax21
- outofbound
- hpe aruba networking
- 더플랜더
- 정보보안기획
- secuve
- 국내회사
- 사용자권한상승취약점
- arubaos
- 항목가이드
- 전자금융취약점분석평가
- commandinjection
- 전자금융기반시설
- fluentbit
- 링귀스틱럼버잭
- 점검항목분류
- 전자금융기반시설취약점분석평가
- linguisticlumberjack
- 취약점
- 명령어주입
- RCE
- 취약점분석평가
- 금취분평
- neural compressor
- antivirusone
- 플루언트비트
- cve
- codeinjection
- 접근제어취약점
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | ||||||
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 | 29 |
30 |