태그프리 액티브디자이너 파일 업로드 취약점 주의 권고

Security Notice

태그프리 액티브디자이너 파일 업로드 취약점 주의 권고

개요

  • 태그프리社 웹에디터 제품인 “액티브디자이너”는 파일업로드 취약점에 대한 기본검증 기능을 제공하지 않음 [1]
  • 해당 제품을 사용한 시스템 구축시, 파일 첨부 기능에 별도의 웹셸 업로드를 제한하는 검증 기능을 구현하지 않을 경우, 웹페이지 변조, 정보유출, 시스템 파괴 등을 피해를 입을 수 있으므로, 개발자의 주의가 요구됨


 해당 시스템

  • 영향 받는 소프트웨어
    - 액티브디자이너 전버전


권장방안

  • 액티브디자이너 제품을 사용한 시스템 구축시, 이미지 첨부 등과 같은 파일을 업로드 기능에 서버 사이드  스크립트 웹셸 검증 기능을 별도로 구현
    ※ 개발사 보안가이드 참조 : http://tagfree.com/news/newss1_01.asp?view=2622


용어 정리

  • 웹쉘(Webshell) : php, jsp, asp 등 스크립트 언어로 되어 있으며, 원격에서 웹서버를 제어할 수 있어  다양한 해킹공격에 사용될 수 있는 웹서버형 악성코드
  • 서버 사이드 스크립트 : 클라이언트-서버 구조에서 서버 쪽에서 행해지는 처리


문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


기타

  • 본 취약점은 Krcert 홈페이지를 통해 BlackFalcon님께서 제공해주셨습니다.


[참고사이트]
[1] http://tagfree.com/news/newss1_01.asp?view=2622

0 변경된 사항