URL에 세미콜론이 있는 경우 IIS 6.0의 처리 문제

지난 며칠간, IIS에서 새로운 보안 취약점이 밝혀졌다고 해서 마이크로소프트의 보안대응센터(MSRC)와 IIS가 정확한 원인을 조사 중이었습니다. 심각한 취약점이라는 주장에 의하면, 공격자는 http://www…..com/uploads/foo.asp;bar.jpg 과 같이 세미콜론(;)으로 연결된 이중 확장자를 쓴 URL을 보냅니다. 희생자가 이 URL을 클릭하면 IIS 서버는 ;의 앞부분만 보고 ASP 스크립트 핸들러에서 이를 처리합니다. 이 URL에 실행(Execute) 권한이 있는 조건에서는 실제로는 foo.asp;bar.jpg라는 파일에 들어있는 ASP가…

1

클라우드 컴퓨팅 보안 가이드 ver 2.1

Cloud Security Alliance (클라우드 보안 연합. 약칭 CSA)이라는 단체에서 클라우드 컴퓨팅에서 보안을 구현하는 것에 대해 지침서 [pdf 문서]를 발표했습니다. 지난 12월 17일에 나온 이번 문서는 버전 2.1입니다. 클라우드 컴퓨팅이란 무엇인가 부터 시작해 법적인 검토 사항, 컴플라이언스, 감사, 위기 관리, 고전적인 보안 모델과의 관계, 재난시 복구, 키 관리, 아이덴터티와 액세스 관리, 가상화 등의 주제를 망라하고 있습니다….

0

2009년의 5대 필수 보안 패치 – 외신 자료

연말을 맞아 이제 TV를 켜면 저녁마다 각종 시상식이 펼쳐질 것으로 예상되네요. 보안 업계와 언론에서도 내년도 전망을 비롯해 올해의 보안 트렌드에 대해 10대 이슈를 선정하는 기사가 많이 눈에 띕니다. ComputerWorld에 5대 필수 보안 패치라는 기사가 있어 소개하려 합니다. 꼭 올해 나온 보안 패치 중에서 선정한 것은 아니고, 지금 시점에서 반드시 설치해야 할 가장 중요한 패치를 선정했네요….

0

SQL 인젝션 공격의 11주년 기념일?

eWeek의 기사에 따르면, 1998년의 크리스마스에, SQL 인젝션이라는 용어가 공론화된 첫 기사가 등장한 날이라고 하는군요. SQL 인젝션을 통한 웹 사이트 공격은 지금도 가장 흔히 이뤄지는 위협입니다. IBM X-Force에 따르면 하루에 60만건 정도의 공격이 관찰된다는군요. 불과 1년 반 전에 비해 120배나 증가한 수치입니다. 그만큼 취약점이 패턴화되어 있고 자동화된 툴이 활발히 공격을 일으킨다는 의미입니다. 아직도 SQL 인젝션 공격을…

0

외국의 가짜 백신 프로그램

백신 프로그램으로 가장한 악성 코드(이른바 Rogue Antivirus)의 문제는 어제 오늘의 일이 아닙니다만 그 교묘함은 날로 더해가고 있습니다. 자신이 악성 코드이면서, 시스템에서 악성 코드를 찾아낸 것으로 위장해 소프트웨어 사용료를 받아내기도 하고, 웹 사이트의 광고를 조작하기도 합니다. 컨피커 웜이 이런 가짜 보안제품을 설치하는 경우도 발견되었고, 동영상 코덱이나 유틸리티인 것으로 속여 설치를 유도하기도 합니다. 가짜 시장도 이미 포화…

1

2010년 보안 전망

2009년의 끝이 멀지 않았음을 느끼게 만들어 주는 “2010년 보안 전망”이 줄을 잇고 있습니다. 국내 보안 컨설팅 업체 인포섹·A3시큐리티·인젠·롯데정보통신·시큐아이닷컴·안철수연구소·STG시큐리티에서는 ‘DDoS 공격’을 내년의 이슈 1순위로 꼽았다고 하지요. 더불어 외국의 보안 업체 F-secure, Websense, Trendmicro 등에서 발표한 내년 전망에서는 스마트폰 보안 위협, 소셜 네트워크 위협, FIFA 2010을 노린 DDoS나 스팸 등이 언급되고 있습니다.

0

Office 2003 RMS 문제 해결용 픽스 제공

지난 금요일(12월 11일), 오피스 2003의 RMS (Rights Management Service, 권한 관리 서비스)에서 중요한 문제가 발견되었습니다. RMS는 메일을 보내거나 파일을 전달할 때 받는 사람이 할 수 있는 작업의 범위를 파일 보내는 사람이 미리 지정하는 겁니다. 즉, 메일을 재전송(forward)할 수 있는지, 인쇄할 수 있는지, 다른 문서로 복사해 붙여넣기 할 수 있는지 등을 문서 보안 차원에서 미리 제한하는…

0

보안 권고 954157과 974926

오늘 마이크로소프트는 두 건의 보안 권고(Security Advisory)를 발표했습니다. 그 중 하나가 보안 권고 954157인데 Indeo 코덱의 보안을 강화하기 위한 방법입니다. 좀 오래된 코덱이라 문제가 많은 편인데 하나하나의 보안 취약점을 해결하는 방식이 아니라 인터넷 익스플로러나 윈도우 미디어 플레이어에서 아예 Indeo 코덱이 실행되지 않게 하는 방식에 대해 설명합니다. 이 보안 패치는 보안 공지의 형식을 띄지 않고 있어,…

0

2009년 12월 마이크로소프트 보안 공지 발표

마이크로소프트는 오늘(12월 9일), 새로운 보안 공지 6개를 발표했습니다. MS09-069 – LSASS 취약점 (중요) Windows 2000, Windows XP, Windows Server 2003 MS09-070 – ADFS 취약점 (중요) Windows Server 2003, Windows Server 2008 MS09-071 – IAS 취약점 (긴급) Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 MS09-072 – IE 취약점 (긴급) Internet Explorer…

0

Forefront Threat Management Gateway 2010과 Forefront Unified Access Gateway 2010

이름이 다소 어렵습니다만, 마이크로소프트의 엔드포인트 보안 솔루션인 Forefront Threat Management Gateway 2010과 Forefront Unified Access Gateway 2010이 이번 주 출시되었습니다. Forefront Threat Management Gateway 2010은 줄여서 Forefront TMG라고 부르는데, 방화벽 서버이자 웹 캐시 서버 역할을 하던 ISA Server 2006의 후속 버전으로 보시면 되겠습니다. TMG는 기업 내 직원들이 웹 사용을 안전하게 할 수 있게 해 주는…

0