□ 개요

 o Adobe社는 Adobe RoboHelp, Flash Player 및 ColdFusion에 영향을 주는 취약점을 해결한 보안 업데이트를 발표

 o 낮은 버전 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라 최신버전으로 업데이트 권고

 

□ 설명

 o Adobe RoboHelp에서 발생하는 2개의 취약점을 해결하는 보안 업데이트를 발표[1]

   ·  XSS으로 연계 가능한 입력 유효성 검사 취약점(CVE-2017-3104)

   ·  오픈 리다이렉트 공격으로 이어질 수 있는 입력 유효성 검사 취약점CVE-2017-3105)


 o Adobe Flash Player에서 발생하는 2개의 취약점을 해결하는 보안 업데이트를 발표[2]

   ·  원격 코드 실행으로 이어질 수 있는 메모리 손상 취약점(CVE-2017-11281, CVE-2017-11282)


 o Adobe ColdFusion에서 발생하는 4개의 취약점을 해결하는 보안 업데이트를 발표[3]

   ·  정보 노출로 이어질 수 있는 XML 파싱 취약점(CVE-2017-11286)

   ·  정보 노출로 이어질 수 있는 XSS 취약점(CVE-2017-11285)

   ·  원격 코드 실행으로 이어질 수 있는 데이터 역직렬화 취약점(CVE-2017-11283, CVE-2017-11284)

 □ 영향을 받는 제품

 o Adobe RoboHelp

소프트웨어 명동작 환경영향 받는 버전
RoboHelp윈도우즈RH2017.0.1 및 이전버전,
RH12.0.4.460 및 이전버전

o Adobe Flash Player

소프트웨어 명

동작 환경영향 받는 버전
Adobe Flash Player
Desktop Runtime
윈도우즈, 맥, 리눅스26.0.0.151 및 이전버전
Adobe Flash Player
for Google Chrome
윈도우즈, 맥, 리눅스, Chrome OS26.0.0.151 및 이전버전
Adobe Flash Player
for Microsoft Edge and
Internet Explorer 11
윈도우즈 10, 8.126.0.0.151 및 이전버전

 o Adobe ColdFusion

소프트웨어 명동작 환경영향 받는 버전
ColdFusion(2016 release)Allupdate 4 및 이전버전
ColdFusion 11Allupdate 12 및 이전버전

□ 해결 방안
 o Adobe RoboHelp 사용자
   -  윈도우즈 RoboHelp 사용자는 해당하는 소프트웨어에 따라 최신 버전으로 업데이트 적용
  o Adobe Flash Player 사용자
   -  윈도우즈, 맥, 리눅스 환경의 Adobe Flash Player Desktop runtime 사용자는 27.0.0.130 버전으로 업데이트 적용
      ·   Adobe Flash Player Download Center(https://get.adobe.com/flashplayer/)에 방문하여 최신 버전을 설치하거나,
         자동 업데이트를 이용하여 업그레이드
   -  Adobe Flash Player가 설치된 Google Chrome는 자동으로 최신 업데이트 버전 적용
   -  Windows 10 및 Windows 8.1에서 Microsoft Edge, 인터넷 익스플로러 11에 Adobe Flash Player를 설치한 사용자는
      자동으로 최신 업데이트가 적용

 o Adobe ColdFusion 사용자
   -  ColdFusion (2016 버전) 사용자는 http://helpx.adobe.com/coldfusion/kb/coldfusion-2016-update-5.html 
      사이트에 방문하여 핫픽스 설치
   -  ColdFusion 11 사용자는 https://helpx.adobe.com/coldfusion/kb/coldfusion-11-update-13.html사이트에 방문하여
      핫픽스 설치
 

 
[참고사이트]
[1] https://helpx.adobe.com/security/products/robohelp/apsb17-25.html
[2] https://helpx.adobe.com/security/products/flash-player/apsb17-28.html
[3] https://helpx.adobe.com/security/products/coldfusion/apsb17-30.html


저작자 표시 비영리
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

펌웨어 정보

- 펌웨어 버전: 1.2.94

- 펌웨어 상태: 정식 버전(자동 업그레이드 적용됨)

변경 사항


1. SSID에 특수문자'&,%,+' 포함시 연결 안되는 문제 해결

2. [시스템설정-기타설정-외부SMTP서버] 이메일 송신 STARTTLS 옵션이 항상 활성화되는 문제 해결

3. NTFS에서 Synctoy 동기화 안되는 문제 해결 (3015.1.29.1)



저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story


□ 개요

 o Apache Struts2에서 임의 코드 실행이 가능한 취약점이 발견 [1]

 o 취약한 버전을 사용 중인 서버의 담당자는 악성코드 감염 등의 위험이 있으므로 아래 해결 방안에 따른 조치 권고

 

 □ 내용

 o Struts REST 플러그인을 사용하여 XML 페이로드를 처리할 때 발생하는 원격 코드 실행 취약점(CVE-2017-9805)

 o REST 플러그인은 XStreamHandler 유형 필터링 없이 직렬화를 위해 XStream의 인스턴스와 함께 사용

 

□ 영향을 받는 제품 및 버전

 o Apache Struts 2.3.33, 2.5~2.5.12

 

□ 해결 방안

 o 취약점에 영향을 받지 않는 버전으로 업데이트 수행[2]

   - Apache Struts 2.5.13

 o Struts Rest 플러그인을 사용하지 않는 경우 삭제

 



[참고사이트]

 [1] https://struts.apache.org/docs/s2-052.html

 [2] https://struts.apache.org/docs/version-notes-2513.html

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story


젠킨스 

젠킨스(Jenkins)는 소프트웨어 개발 시 지속적 통합(continuous integration) 서비스를 제공하는 툴 취약점이 발견되어 업데이트가 필요해 보입니다 .


https://ko.wikipedia.org/wiki/%EC%A0%A0%ED%82%A8%EC%8A%A4

Multiple Cross-Site Request Forgery vulnerabilities in Jenkins allowed malicious users to perform several administrative actions by tricking a 

victim into opening a web page. 

The most notable ones:


SECURITY-412: Restart Jenkins immediately, after all builds are finished, or after all plugin installations and builds are finished

SECURITY-412: Schedule a downgrade of Jenkins to a previously installed version if Jenkins previously upgraded itself

SECURITY-413: Install and (optionally) dynamically load any plugin present on a configured update site

SECURITY-414: Remove any update site from the Jenkins configuration

SECURITY-415: Change a user’s API token

SECURITY-416: Submit system configuration

SECURITY-417: Submit global security configuration

SECURITY-418, SECURITY-420: For Jenkins user database authentication realm: create an account if signup is enabled; or create an account if the victim is an administrator,

 possibly deleting the existing default admin user in the process

SECURITY-419: Create a new agent, possibly executing arbitrary shell commands on the master node by choosing the appropriate launch method

SECURITY-420: Cancel a scheduled restart

SECURITY-420: Configure the global logging levels

SECURITY-420: Create a copy of an existing agent

SECURITY-420: Create copies of views in users' "My Views" or as children of the experimental "Tree View" feature

SECURITY-420: Enter "quiet down" mode in which no new builds are started

SECURITY-420: On Windows, after successful installation as a service, restart

SECURITY-420: On Windows, try to install Jenkins as a service

SECURITY-420: Set the descriptions of items (jobs), builds, and users

SECURITY-420: Submit global tools configuration (Jenkins 2.0 and up)

SECURITY-420: Toggle keeping a build forever (i.e. exclude or include it in log rotation)

SECURITY-420: Try to connect all disconnected agents simultaneously

SECURITY-420: Update the node monitor data on all agents

The above, as well as several other more minor issues, have all been fixed and these actions now require POST requests, and, if configured, a CSRF crumb, to work.


CLI: Unauthenticated remote code execution

SECURITY-429 / CVE-2017-1000353


An unauthenticated remote code execution vulnerability allowed attackers to transfer a serialized Java SignedObject object to the remoting-based Jenkins CLI, that would be deserialized using a new ObjectInputStream, bypassing the existing blacklist-based protection mechanism.


SignedObject has been added to the remoting blacklist.


In Jenkins 2.54, the remoting-based CLI protocol was deprecated and a new, HTTP based protocol introduced as the new default, in addition to the existing SSH-based CLI. This feature has been backported to Jenkins 2.46.2. It is strongly recommended that users upgrading Jenkins disable the remoting-based CLI, and use the one of the other modes (HTTP or SSH) instead.


CLI: Login command allowed impersonating any Jenkins user

SECURITY-466 / CVE-2017-1000354


The login command available in the remoting-based CLI stored the encrypted user name of the successfully authenticated user in a cache file used to authenticate further commands. Users with sufficient permission to create secrets in Jenkins, and download their encrypted values (e.g. with Job/Configure permission), were able to impersonate any other Jenkins user on the same instance.


This has been fixed by storing the cached authentication as a hash-based MAC with a key specific to the Jenkins instance and the CLI authentication cache.


Previously cached authentications are invalidated when upgrading Jenkins to a version containing a fix for this.


XStream: Java crash when trying to instantiate void/Void

SECURITY-503 / CVE-2017-1000355


Jenkins uses the XStream library to serialize and deserialize XML. Its maintainer recently published a security vulnerability that allows anyone able to provide XML to Jenkins for processing using XStream to crash the Java process. In Jenkins this typically applies to users with permission to create or configure items (jobs), views, or agents.


Jenkins now prohibits the attempted deserialization of void / Void that results in a crash.


Severity

SECURITY-412 through SECURITY-420: high

SECURITY-429: critical

SECURITY-466: high

SECURITY-503: medium

Affected versions

All Jenkins main line releases up to and including 2.56

All Jenkins LTS releases up to and including 2.46.1

Fix

Jenkins main line users should update to 2.57

Jenkins LTS users should update to 2.46.2

These versions include fixes to all the vulnerabilities described above. All prior versions are affected by these vulnerabilities unless otherwise indicated.

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

◾ 펌웨어 버전: 10.01.2

◾ 배포 제품:

11AC 유무선공유기: ipTIME A2003NS-MU/A704NS-BCM/A3004NS-BCM

◾ 펌웨어 상태: 정식 버전

◾ 변경사항
1. 일부 USB저장장치가 Sleep모드로 전환되지 않는 문제점 해결 
2. UI 개선 

저작자 표시
신고
블로그 이미지

Ryansecurity Ryansecurity

Life is fun security story

티스토리 툴바