여러 소프트웨어 프로젝트에서 사용되는 라이브러리, 아파치 커먼즈 텍스트(Apache Commons Text)에서 초고위험도 취약점이 발견되었다.
#커먼즈 텍스트: 문자열에서 작동하는 알고리즘에 중점을 둔 라이브러리. 표준 자바 개발 키트(JDK)에 포함됨. 해당 라이브러를 활용하고 있는 프로젝트는 2588개. 이중에는 대형 프로젝트도 다수 포함.
해당 취약점을 이용한 익스플로잇 활동은 발견되지 않았으나, 익스플로잇에 성공하면 아파치가 설치된 서버에 원격 접근하여 임의 코드 실행이 가능하다. CVE-2022-42889라는 이름을 받았으며, CVSS 점수는 10점 만점에 9.8점이다.
아파치소프트웨어재단(ASF)는 아파치 커먼즈 텍스트 내 디폴트 룩업 인스턴스들이 문제가 된다고 설명했다. 원격 코드 실행이 가능한 취약점이기에, 1.10.0버전으로의 업그레이드를 권장한다. (1.5~1.9 버전에서 취약점 발견)
아파치 커먼즈 텍스트의 기능 중에는 코드 실행과 관련된 것이 존재한다.
사용자들이 입력한 문자열을 통해 특정 기능이 실행되도록 함.. 이 기능을 실제로 활용하면서 사용자 입력 값을 받는 웹 어플리케이션들이 있다면, 공격자가 이를 활용하여 취약점을 익스플로잇하여 원격에서 코드 실행이 가능하다.
+) 2022-10-20 해당 취약점 Text4Shell이라는 이름 붙여.. Log4Shell만큼의 영향력은 없을 것으로 추측되나, 공격 가능성을 무시할 수는 없다. (출처)
[개인 의견]
항상 오픈 소스가 문제네요.
많은 곳들에서 오픈소스 라이브러리를 사용하지만, 무조건적으로 사용하는 것을 피해야겠습니다.
사용한다면, 어느 곳에 어떤 오픈소스가 사용되는지를 반드시 기록하여 알아둬야겠습니다. 그래야 관련 보안이슈가 터졌을 때 바로 패치할 수 있겠지요.
자바 기반 오픈소스 라이브러리인 Log4j 때의 사태가 다시 일어나선 안될 것입니다.
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] "내 PC 돌보미"로 위장한 멀웨어 유포 중. (0) | 2022.10.20 |
|---|---|
| [보안이슈] 인도 에너지 회사 Tata Power, 사이버 공격으로 타격 입어 (0) | 2022.10.19 |
| [보안이슈] 카카오 장애 발생 틈타 스피어피싱 공격 (0) | 2022.10.17 |
| [보안이슈] 중국 해킹 그룹의 새로운 공격 프레임워크 Alchimist, 여러 OS 대상으로 사용 가능 (0) | 2022.10.14 |
| [보안이슈] 소비유도 상술 다크패턴 마케팅 규제 마련 필요성 제기, 다크패턴이란? (0) | 2022.10.13 |
