정보보호 한잔

오늘의 신규 보안 취약점 맛보기는Citrix XenCenter의 관리자 SSH 개인키 탈취 취약점 입니다.(Citrix XenCenter 취약점 보다는 Putty 취약점이 맞지 않나 싶긴 합니다.)  XenCenter는 Citrix사에서 제작한클라이언트 운영 체제 및 가상화된 서버에 가상화 성능을 제공하는 서버 가상화 플랫폼입니다.국내에서도 많은 분들이 사용하고 있는 서버 가상화 플랫폼 중 하나입니다. 해당 플랫폼에서 " Open SSH Console" 버튼 클릭후, Putty 프로그램이 실행되며, SSH 접속을 할 수 있습니다.  XenCenter 8.2.6에서는 사용되지 않고, 8.2.7 이후 버전에는 PuTTY가 아예 포함되지 않지만,이전 버전에서는 쓰고 있으며 그 중에서도 Putty 버전이 0.8..

오늘의 신규 보안 취약점 맛보기는 WordPress Icegram Express 플러그인의 SQL Injection 취약점 입니다.  WordPress의 Icegram Express 플러그인은 자동화 이메일 마케팅 기능을 제공하는 플러그인입니다. CVE제품/서비스 명취약버전양호버전CVE-2024-2876Icegram Express플러그인5.7.14 이하5.7.15 이상 위험도는 SQL Injection 답게 CVSS 9.8 Critical 등급입니다. 해당 취약점은 IG_ES_Subscribers_Query 클래스의 run 기능에서사용자 매개변수에 대한 검증이 부족하여 SQL 쿼리의 실행이 가능합니다.[3][4] 수정된 부분은 아래와 같으며[5], 값에 대한 필터가 추가되었음을 알 수 있습니다. 위험도가..

오늘의 보안 맛보기도 WordPress 플러그인 입니다.역시 오픈소스에 사용자가 많은 서비스이다보니 취약점이 많이 발생하네요.(다음 포스팅도 WordPress 취약점으로 작성중입니다.)  WordPress는 웹사이트 제작 오픈 소스 소프트웨어로, 많은 사람들이 이를 활용하여 웹사이트를 제작하고 있습니다.이 중 LiteSpeed Cache 플러그인은 서버 수준 캐시 및 최적화 기능의 사이트 가속 기능을 제공하는 플러그인입니다. CVE제품/서비스 명취약버전양호버전CVE-2023-40000LiteSpeed Cache 플러그인5.7 이하5.7.0.1 이상 2024년이지만, 이 글에서는 2023년에 발견된 취약점을 신규로 언급하는 이유를 설명드리겠습니다.  해당 취약점은 이미 2023년 10월에 출시된 5.7.0..

오늘의 신규 보안 취약점 맛보기는 WordPress의 Automatic 플러그인에서 발생한 SQL Injection 취약점 입니다.  WordPress는 웹사이트 제작에 널리 사용되는 오픈 소스 소프트웨어로, 많은 사람들이 이를 활용하고 있습니다. 이 중 Automatic 플러그인은 타 웹사이트의 콘텐츠를 자동으로 게시하는 기능을 제공하는 플러그인입니다. 위험도는 CVSS 9.8 입니다. 역시 SQL Injection 취약점이라 위험도가 높네요.CVE제품/서비스 명취약버전양호버전CVE-2024-27956Automatic 플러그인3.92.0 이하3.92.1 이상[1] 따로 특별한 PoC는 없지만 Automatic 플러그인의 취약버전에서사용자의 매개변수에 대한 유효성 검증이 충분하지 않아 SQL Inject..

오늘의 신규 보안 취약점 맛보기는 공유기 펌웨어에서 발견된 RCE(원격 코드실행) 취약점 입니다. Tp-Link의 Archer AX21은 아래 이미지 처럼 생긴 공유기입니다.디자인도 그렇고 가격이나 스팩 모두 나쁘지 않아 사용하시는 분들이 꽤나 있는것으로 알고 있습니다. 해당 공유기의 펌웨어에서 CVE-2023-1389 RCE 취약점이 발견되었으며 위험도는 8.8 High 입니다.해당 공유기를 사용하고 계시는 분이 있다면 아래 내용과 관련 사이트를 참고하여 업데이트를 진행해주시기 바랍니다.CVE제품/서비스명취약버전양호버전CVE-2023-1389Archer AX21V1.20_230426 미만V1.20_230426 이상V1.26_230426 미만V1.26_230426V2_230426 미만V2_230426 이..

오늘의 신규 보안 취약점 맛보기는 ArubaOS 버퍼오버플로우 취약점입니다.근데..ArubaOS가 뭔지 일단 알아보고 정리 해보도록 하겠습니다. HPE Aruba Networking社에서 나온 운영체제이고, Aruba Central 관리형 액세스 포인트 및 게이트웨이를 위한 차세대 분산형 OS라고 하네요. 사이트에서는 아래와 같은 관련 제품이 있다고 하는데 참고하시면 됩니다.     CVE제품/서비스명취약버전양호버전CVE-2024-26304(버퍼오버플로우)ArubaOS10.5.1.0 이하10.6.0.0 이상10.5.1.1 이상CVE-2024-26305(버퍼오버플로우) 10.4.1.0 이하10.4.1.1 이상CVE-2024-33511(버퍼오버플로우) 8.11.2.1 이하8.11.2.2 이상CVE-2024..

1. 개인정보 수집단계- 해당 단계에서 주의해야 할 부분은 개인정보를 제공하는 이용자에게 동의를 얻는 과정에서 반드시 알려야 할목을 명확하게 표시하여 관련 법률을 위반하지 않아야 한다.※ 정보통신망법: 개인정보 수집 항목, 목적, 이용기간 (3가지)    개인정보보호법: 개인정보 수집 항목, 목적, 이용기간, 동의거부시 불이익(4가지)- 특히 법률에서 주민등록번호, 민감정보, 고유식별정보 수집을 제한하는 항목을 확인하여 위법한 수집이 되지 않도록 주의가 필요하다.※ 주민등록번호 수집은 법에서 정한 경우에만 가능하며 동의받아도 불가능하다.    법에서 정하는 일정 규모 이상의 개인정보처리자는 타 기관으로부터 제공받은 개인정보가 있을 경우, 3개월 이내 해당 정보 주체에게 통보해야 한다. 2. 개인정보 보유..

CVE제품명설명취약한 버전CVE-2024-2961glibcGNU C Library versions 2.39 이하 버전의 iconv() 함수에서 중국어 언어 세트인 ISO-2022-CN-EXT 문자 세트로 변환할 때, 전달된 출력 버퍼를 최대 4바이트까지 오버플로우 할 수 있습니다. 이를 통하여 애플리케이션을 충돌시키거나 인접 변수를 오버라이팅하는데 사용될 수 있습니다.2.39 이하 -      원인: ISO-2022-CN-EXT는 문자 집합 변경을 나타내기 위해 이스케이프 시퀀스를 사용합니다. (RFC 1922에 명시됨). SOdesignation은 예상 경계 확인 로직이 있습니다. 하지만 SS2designation 및 SS3designation에서는 '$+I', '$+J', '$+K', '$+L', '..

2024.05.02 기준 관리체계 인증하려는 회사의 법적 준수사항이 의무대상자인지 임의 신청자인지 구분이 필요합니다.1. 임의신청자는 정보보호 관리체계를 구축 운영하여 적합성 여부의 판단을 원하는 모든 조직 → 즉, 희망자 모두2. 의무대상자는 정보통신망에 미치는 영향이 크고 사회 경제적 파급력이 큰 조직 구분의무대상자 기준ISP전기통신사업법 제6조 제1항에 따른 허가를 받은자로서 서울특별시 및 모든 광역시에 정보통신서비스를 제공하는 자IDC정보통신망법 제46조에 따른 집적정보통신시설사업자다음의 조건 중 하나라도 해당하는 자1. 연간 매출액 또는 세입이 1,500억원 이상인 자 중 - 의료법 제3조의4에 따른 상급종합병원- 직전연도 12월 31일 기준, 재학생수가 1만명 이상인 고등교육법 제2조에 따른 ..

정보통신서비스 사업자가 개인정보 이전시에는 정보통신망법과 개인정보보호법의 적용을 받습니다. (물론 정보통신서비스 사업자는 우선적으로 정보통신망법이 적용됩니다.) 관련 법안으로 정보통신망법 제26조 (영업의 양수 등에 따른 개인정보의 이전)개인정보보호법 제 27조 (영업 양도 등에 따른 개인정보의 이전 제한) 가 있습니다. 1. 정보통신서비스 제공자등이 영업의 전부 또는 일부의 양도·합병 등으로 그 이용자의 개인정보를 타인에게 이전하는 경우에는 미리 다음 각 호의 사항 모두를 인터넷 홈페이지 게시, 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알려야 합니다.- 개인정보를 이전하려는 사실- 개인정보를 이전받는 자(이하 "영업양수자등"이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다. 이하 ..