어도비의 고객 경험 플랫폼 마젠토, 위험한 취약점 6개에 대한 패치 발표
앞으로 마젠토 보안 센터가 아니라 어도비 보안 불레틴 통해 패치 발표할 계획
[보안뉴스 문가용 기자] 마젠토(Magento) 2.3.4 버전이 이번 주 발표됐다. 여섯 개의 취약점이 해결된 버전인데, 이 중 세 개는 치명적인 위험도를 가진 것으로 분석됐다.
[이미지 = icllickart]
치명적 위험도를 가진 취약점 중 하나는 CVE-2020-3716으로, 신뢰하기 힘든 데이터 혹은 확인이 되지 않은 데이터에 대한 비직렬화와 관련된 것이다. 성공적으로 익스플로잇 될 경우 임의의 코드를 실행할 수 있게 된다.
다른 하나는 CVE-2020-3718로 보안 기능을 우회해 임의의 코드를 실행해 줄 수 있게 해주는 취약점이며, 마지막은 CVE-2020-3719로 SQL 주입을 통해 민감한 정보를 노출시키는 취약점이라고 한다.
나머지 3개의 취약점은 ‘중요’ 등급을 받았으며, 전부 민감한 정보 유출 공격을 가능하게 만든다.
1) CVE-2020-3715 : 스토어드 XSS 취약점
2) CVE-2020-3758 : 스토어드 XSS 취약점
3) CVE-2020-3717 : 경로 변경 취약점
이 취약점들은 마젠토 커머스(Magento Commerce)와 마젠토 오픈소스(Magento Open Source) 모두에서 발견됐다. 2.3.3 및 이하 버전, 2.2.10 및 이하 버전들에 영향이 있는 것으로 조사됐다. 그 외에 마젠토 엔터프라이지 에디션(Magento Enterprise Edition) 1.14.4.3 이하 버전과 마젠토 커뮤니티 에디션(Magento Community Edition) 1.9.4.3 이하 버전에서도 발견됐다.
마젠토의 개발사인 어도비(Adobe)는 지난 분기에 발표한 마젠토 업데이트를 통해 오로지 보안 취약점 패치만 배포하기도 했었다. 그 동안은 기능성 향상과 관련된 패치가 포함되는 것이 보통이었다. 또한 이번 분기부터 어도비는 마젠토 보안 센터(Magento Security Center)가 아니라 어도비의 보안 불레틴에 정기 업데이트 및 보안 권고 사항을 발표할 계획임을 알리기도 했다.
이번에 업데이트 된 마젠토부터는 레이아웃 업데이트를 위해서 반드시 관련 정보가 담긴 파일을 생성하고, 이를 직접 선택해야만 하도록 변경됐다. 여태까지는 텍스트 입력으로만 레이아웃 업데이트가 가능했었다. 어도비는 “공격 표면을 줄이고 원격 코드 실행 가능성을 낮추기 위해서”라고 설명했다.
또한 콘텐츠 템플릿 기능들이 재설계 되었다는 것도 눈에 띈다. “이제는 화이트리스트 처리 된 변수들만 템플릿에 추가할 수 있습니다. 객체로부터 PHP 함수들을 직접 호출하는 것을 막기 위해서입니다. 이메일, 뉴스레터, CMS 콘텐츠 등 관리자가 직접 규정한 템플릿들만 포함될 수 있도록 했습니다.”
어도비는 “현재까지 오늘 패치된 취약점을 통한 실제 공격이 발생한 사례는 발견되지 않았다”고 강조하기도 했다. “하지만 일부 취약점들은 굉장히 위험하며, 공격자들이 관리자 세션을 가로채고 고객 정보에 접근할 수 있게 해줍니다. 따라서 패치를 최대한 빨리 적용할 것을 권고합니다.”
3줄 요약
1. 어도비 마젠토에서 여섯 가지 취약점 발견됨.
2. 세 가지는 치명적인 위험도, 세 가지는 중요 위험도를 가졌음.
3. 어도비는 분기별 정기 업데이트 통해 이 취약점들 패치함.
[국제부 문가용 기자(globoan@boannews.com)]
앞으로 마젠토 보안 센터가 아니라 어도비 보안 불레틴 통해 패치 발표할 계획
[보안뉴스 문가용 기자] 마젠토(Magento) 2.3.4 버전이 이번 주 발표됐다. 여섯 개의 취약점이 해결된 버전인데, 이 중 세 개는 치명적인 위험도를 가진 것으로 분석됐다.
[이미지 = icllickart]
치명적 위험도를 가진 취약점 중 하나는 CVE-2020-3716으로, 신뢰하기 힘든 데이터 혹은 확인이 되지 않은 데이터에 대한 비직렬화와 관련된 것이다. 성공적으로 익스플로잇 될 경우 임의의 코드를 실행할 수 있게 된다.
다른 하나는 CVE-2020-3718로 보안 기능을 우회해 임의의 코드를 실행해 줄 수 있게 해주는 취약점이며, 마지막은 CVE-2020-3719로 SQL 주입을 통해 민감한 정보를 노출시키는 취약점이라고 한다.
나머지 3개의 취약점은 ‘중요’ 등급을 받았으며, 전부 민감한 정보 유출 공격을 가능하게 만든다.
1) CVE-2020-3715 : 스토어드 XSS 취약점
2) CVE-2020-3758 : 스토어드 XSS 취약점
3) CVE-2020-3717 : 경로 변경 취약점
이 취약점들은 마젠토 커머스(Magento Commerce)와 마젠토 오픈소스(Magento Open Source) 모두에서 발견됐다. 2.3.3 및 이하 버전, 2.2.10 및 이하 버전들에 영향이 있는 것으로 조사됐다. 그 외에 마젠토 엔터프라이지 에디션(Magento Enterprise Edition) 1.14.4.3 이하 버전과 마젠토 커뮤니티 에디션(Magento Community Edition) 1.9.4.3 이하 버전에서도 발견됐다.
마젠토의 개발사인 어도비(Adobe)는 지난 분기에 발표한 마젠토 업데이트를 통해 오로지 보안 취약점 패치만 배포하기도 했었다. 그 동안은 기능성 향상과 관련된 패치가 포함되는 것이 보통이었다. 또한 이번 분기부터 어도비는 마젠토 보안 센터(Magento Security Center)가 아니라 어도비의 보안 불레틴에 정기 업데이트 및 보안 권고 사항을 발표할 계획임을 알리기도 했다.
이번에 업데이트 된 마젠토부터는 레이아웃 업데이트를 위해서 반드시 관련 정보가 담긴 파일을 생성하고, 이를 직접 선택해야만 하도록 변경됐다. 여태까지는 텍스트 입력으로만 레이아웃 업데이트가 가능했었다. 어도비는 “공격 표면을 줄이고 원격 코드 실행 가능성을 낮추기 위해서”라고 설명했다.
또한 콘텐츠 템플릿 기능들이 재설계 되었다는 것도 눈에 띈다. “이제는 화이트리스트 처리 된 변수들만 템플릿에 추가할 수 있습니다. 객체로부터 PHP 함수들을 직접 호출하는 것을 막기 위해서입니다. 이메일, 뉴스레터, CMS 콘텐츠 등 관리자가 직접 규정한 템플릿들만 포함될 수 있도록 했습니다.”
어도비는 “현재까지 오늘 패치된 취약점을 통한 실제 공격이 발생한 사례는 발견되지 않았다”고 강조하기도 했다. “하지만 일부 취약점들은 굉장히 위험하며, 공격자들이 관리자 세션을 가로채고 고객 정보에 접근할 수 있게 해줍니다. 따라서 패치를 최대한 빨리 적용할 것을 권고합니다.”
3줄 요약
1. 어도비 마젠토에서 여섯 가지 취약점 발견됨.
2. 세 가지는 치명적인 위험도, 세 가지는 중요 위험도를 가졌음.
3. 어도비는 분기별 정기 업데이트 통해 이 취약점들 패치함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
