외국에서 설치형 블로그 형태(CMS)로 널리 사용되고 있는 무료 웹애플리케이션인 Elgg에서 SQL 인젝션 취약점이 발견되어 패치가 발표되었습니다.

버그가 발견된 버전은 1.7.2 버전으로, 새로 패치된 1.7.3 버전으로 즉시 업데이트하는 것이 좋습니다. 그 외, 해결된 사항은 다음과 같습니다.

  • captcha 페이지로 부적절하게 접근하는 문제점 해결
  • "Edit details"와 "Edit profile icon"에서 자신이 보유한 정보가 보이도록 수정
  • get_objects_in_group() 버그 수정

Elgg 최신버전 다운로드: http://elgg.org/getelgg.php?forward=elgg-1.7.3.zip
출처: http://blog.elgg.org/pg/blog/brett/read/142/elgg-173-and-163-security-releases


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    지난 주말에 외국에서 Mass SQL Injection 공격이 발생해 약 50여만 개의 웹페이지가 감염되는 사건이 발생했습니다. 이에 대한 자료는 아래 링크를 참고하십시오.


    그런데 해킹당한 사이트 중에는 우리나라도 있지만, 애플의 아이튠즈(iTunes) 사이트도 피해를 입은 것으로 알려졌습니다.


    Preview(프리뷰) 페이지에서 SQL Injection 공격으로 <iframe></iframe> 코드값이 삽입된 것입니다.

    실제 아이튠즈 웹사이트의 취약점인지 여부는 파악되지 않았습니다만, 하여튼 문제가 있다고 봐야 할 것입니다.

    아! 보안은 IT 대기업에도 힘든 싸움이구나 라는 생각이 듭니다.

    감사합니다.

    출처: http://www.theregister.co.uk/2010/08/17/apple_sql_attack/
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      웹 보안을 논할 때 가장 많이 언급되는 공격 기법이 바로 OWASP Top 10 입니다. 이에 대한 자세한 자료는 아래 링크를 참고하십시오.


      웹 보안 쪽보다는 원래 DBMS 쪽에 연관된 공격으로 보는 것이 타탕해 보이지만, 실제로 웹을 통해서 공격이 시작되기 때문에 웹 보안으로 불러야 할 것으로 보입니다.

      하여튼, OWASP Top 10에서 가장 많이 언급되고 있는 SQL Injection 공격은 공격하기가 아주 쉽고, 자동화되어 널리 공격할 수 있는 공격자 입장에서는 아주 손쉬운 먹이감입니다.

      아래는 오라클 DMBS에서 발생한 SQL Injection 취약점에 대한 부분입니다.


      1. SQL Injection Vulnerability in Oracle Database Using "SYS.DBMS_AQIN" http://bit.ly/9OzZKC

      2. SQL Injection/Privilege Escalation Vuln Oracle DB using DBMS_AQADM_SYS http://bit.ly/cNinMD

      3. SQL injection vuln in Oracle 10gR1 DB using SYS.DBMS_STREAMS_AUTH http://bit.ly/9d1H2N

      4. SQL Injection vuln in Oracle with ".ALTER_AUTOLOG_CHANGE_SOURCE" function http://bit.ly/bHcLh2

      5. SYS.KUPW$WORKER SQL injection/ privilege escalation in Oracle 10g Release 1 http://bit.ly/d1uuQ7

      6. SYS.DBMS_CDC_IMPDP SQL injection/ privilege escalation in Oracle 10g Release 1 http://bit.ly/bRDTNi

      7. SYS.DBMS_STATS SQL injection/ privilege escalation in Oracle 10g Release 1 http://bit.ly/anpA8t

      8. SYS.DBMS_DBUPGRADE SQL injection/ privilege escalation in Oracle 10g http://bit.ly/d1yzYp


      오라클 뿐만 아니라 MySQL, MS SQL도 물론 SQL Injection 취약점에 널리 노출되어 있다는 점 또한 잊지 말아야 할 것입니다.

      감사합니다.

      출처: http://advice.cio.com/appsecinc/11514/understanding_sql_injections_in_the_database_management_system
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus


        Web Analytics Blogs Directory