윈스테크넷, 그누보드 보안취약점 발견

입력 2013-02-05 14:38  

국내 유명 공개 웹 애플리케이션 게시판인 그누보드(Gnuboard)에서 XSS 취약점이 발견돼 사용자의 주의가 요구됩니다.

정보보안 전문기업 윈스테크넷은 5일 그누보드 4.36.13 이하 버전에서 악성코드 유포 및 공격이 가능한 XSS(Cross Site Script)취약점을 발견했다며 주의를 당부했습니다.

윈스테크넷 침해사고분석대응조직인 WSEC은 이 취약점을 조기에 발견해 KRCERT(한국정보보호진흥원 인터넷침해대응센터)를 통해 그누보드 배포 사이트인 ㈜에스아이알소프트에 관련 정보를 제공했다고 밝혔습니다.

특히 XSS 공격은 SQL Injection 공격과 함께 가장 위험성이 높은 취약점으로 국제웹보안표준기구 OWASP에서 경고하는 10대 웹 보안취약점에서 수위를 차지하고 있습니다.

이 취약점에 노출 될 경우 공격자가 필터링 정책을 우회하는 악의적인 스크립트를 업로드해 웹 페이지를 열람하는 사용자 브라우져에서 임의의 코드가 실행되도록 공격할 수 있으며, 악성코드 유포 및 사용자 세션 정보 탈취 등의 피해가 우려된다고 회사측은 밝혔습니다.

윈스테크넷은 해당 취약점에 대한 보안 패치가 적용 된 그누보드 4.36.14 버전 또는 이상 버전으로 패치작업을 수행하거나, conv_content() 함수의 필터링 정책을 수정(오류 해결)하는 방법으로 취약점을 해결할 수 있다고 설명했습니다.

<용어설명>

▲ XSS(Cross Site Script)는 악의적인 스크립트가 웹 페이지를 열람하는 사용자 브라우져에서 실행되도록 허용하는 취약점이다.

▲ SQL Injection: 웹 클라이언트의 반환 메시지를 이용하여 불법 인증 및 정보를 유출하는 공격으로, 웹 응용 프로그램에 강제로 구조화 조회 언어(SQL) 구문을 삽입하여 내부 데이터베이스(DB) 서버의 데이터를 유출 및 변조하고 관리자 인증을 우회할 수 있는 취약점 공격기법이다.

관련뉴스

    top
    • 마이핀
    • 와우캐시
    • 고객센터
    • 페이스 북
    • 유튜브
    • 카카오페이지

    마이핀

    와우캐시

    와우넷에서 실제 현금과
    동일하게 사용되는 사이버머니
    캐시충전
    서비스 상품
    월정액 서비스
    GOLD 한국경제 TV 실시간 방송
    GOLD PLUS 골드서비스 + VOD 주식강좌
    파트너 방송 파트너방송 + 녹화방송 + 회원전용게시판
    +SMS증권정보 + 골드플러스 서비스

    고객센터

    강연회·행사 더보기

    7일간 등록된 일정이 없습니다.

    이벤트

    7일간 등록된 일정이 없습니다.

    공지사항 더보기

    open
    핀(구독)!