보안

드루팔, 심각한 SQL 인잭션 결함 패치

Jeremy Kirk | IDG News Service 2014.10.20
드루팔(Drupal)은 자체 콘텐츠 관리 시스템에 있는 사기 코드를 허용, 실행할 수 있는 매우 심각한 결함을 위한 패치를 발표했다.

백악관과 이코노미스트와 같은 웹사이트에서 CMS로 사용되어진 오픈소스 프로젝트인 드루팔은 이번 결함은 7.32 이전의 모든 버전에 영향을 준다고 말했다.

관리자들은 7.32 버전으로 업데이트해야 한다. 만약 불가능하다면 이 패치는 database.inc 파일에서 문제를 해결할 수 있다.

드루팔은 해로운 SQL(structure query language) 쿼리를 필터링하는 추상 API(application programming interface)를 사용하는데, 이 취약점(CVE-2014-3704)은 공격자가 악의적인 쿼리를 보내는 것을 허용할 수 있다. 이는 소위 SQL 인잭션 공격이라 불리는 것으로 웹사이트에 대한 일반적인 공격 형태다.

드루팔은 이 결함을 통해 공격자는 권한 상승이나 무작위 PHP 이행(PHP execution), 또는 다른 공격들을 이끌어 낼 수 있다고 전했다.

FAQ 문서에 따르면, 이 결함은 불특정 다수 사용자에 의해 악용될 수 있으며 이는 현재 이를 악용하는 방법을 시연하는 PoC(proof-of-concept)가 진행중이다.

드루팔은 실제로 악용된 사례는 아직 나타나지 않았지만, 이 결함의 본질상 이를 통한 공격은 탐지되기 어려울 수 있다고 말했다.

이 취약점은 지난달 독일 소재의 PHP 전문 보안 업체인 섹션 아인스(Sektion Eins)가 기업 고객의 코드를 감사하던 도중 이를 발견한 것으로 밝혀졌다. 드루팔은 "드루팔의 보안팀은 종종 감사팀과 같은 곳에서 보고서를 얻기도 한다"고 말했다.

드루팔은 이 패치를 빨리 발표할 것인지를 놓고 논쟁을 벌였다. 결국 드루팔은 9월 말에 있는 자체 암스테르담 컨퍼런스로 인해 보안 업데이트를 위한 정상적인 스케줄을 고수하기로 결론내렸다.

드루팔 측은 "우리는 드루팔 커뮤니티에서 업그레이드에 초점을 맞춘, 정기적으로 계획된 날짜를 이용하는 것이 더 좋다고 판단했다"고 전했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.