ASP.NET 관련 MS 비정기 보안업데이트가 발표되었습니다.
보안 업데이트를 적용하지 않으셨다면 되도록 빨리 적용해 주시기 바랍니다.
▶ 대상 고객: 서버호스팅, 코로케이션, 가상서버호스팅 윈도우즈 OS 사용 고객
▶ 보안 업데이트 내용
- 영향
o 공격자가 영향 받는 시스템의 정보 유출 가능
- 설명
o ASP.NET 프레임워크가 악의적으로 조작된 데이터를 처리하는 과정에서 ViewState필드와 같은
암호화된 데이터나 Web.config와 같은 설정 파일의 내용을 노출시키는 문제점
※ ASP.NET : MS社에서 만든 웹 플랫폼 기술
※ ViewState : ASP.NET을 사용하는 웹사이트에서 사용자의 웹페이지 상태를 저장하기 위해
사용되는 속성값
※ Web.config : ASP.NET을 사용하는 웹페이지에 대한 설정 파일
o 공격자는 해당 취약점을 이용하여 취약한 웹서버의 암호화된 데이터나 시스템의 정보 획득 가능
o 관련취약점 :
- ASP.NET Padding Oracle Vulnerability - CVE-2010-3332
o 영향 : 정보유출
o 중요도 : 중요
- 해당 시스템(거의 모든 서버 OS가 해당됨)
o 영향 받는 소프트웨어
- .NET Framework 1.1 SP1 on Windows XP SP3, Professional x64 Edition SP2,
Windows Server 2003 SP2, x64 Edition SP2, Windows Server 2003 SP2 for Itanium Systems,
Windows Vista SP1, SP2, for 32-bit, x64 Edition, Windows Server 2008 SP0, SP2 for 32-bit, x64 Systems,
Windows Server 2008 SP0, SP2 for Itanium Systems
- .NET Framework 2.0 SP2 on Windows XP SP3, Professional x64 Edition SP2,
Windows Server 2003 SP2, x64 Edition SP2, Windows Server 2003 with SP2 for Itanium-based Systems,
Windows Vista SP1, SP2 for 32-bit, x64 Edition, Windows Server 2008 for 32-bit Systems SP0, SP2,
Windows Server 2008 for x64 Systems SP0, SP2
- .NET Framework 3.5 on Windows XP SP3, Professional x64 Edition SP2,
Windows Server 2003 SP2, x64 Edition SP2, Windows Server 2003 with SP2 for Itanium Systems,
Windows Vista SP1, SP2, for 32-bit, x64 Edition, Windows Server 2008 for 32-bit
Systems SP0, SP2, Windows Server 2008 for x64 Systems SP0, SP2, Windows Server 2008
for Itanium Systems, SP0, SP2
- .NET Framework 3.5 SP1 on Windows XP SP3, Professional x64 Edition SP2,
Windows Server 2003 SP2, x64 Edition SP2, Windows Server 2003 with SP2 for Itanium
Systems, Windows Vista SP1, SP2, for 32-bit, x64 Edition, Windows Server 2008 SP0,
SP2 for 32-bit, 64-bit Systems, Windows Server 2008 for Itanium Systems SP0, SP2
- .NET Framework 3.5.1 on Windows 7 for 32-bit Systems, x64-based Systems,
Windows Server 2008 R2 for x64 Systems, Windows Server 2008 R2 for Itanium systems
- .NET Framework 4.0 on Windows XP SP3, Professional x64 Edition SP2,
Windows Server 2003 SP2, x64 Edition SP2, Windows Server 2003 with SP2 for Itanium
Systems, Windows Vista SP1, SP2, for 32-bit, x64 Edition,
Windows Server 2008 Systems SP0, SP2, for 32-bit, 64-bit, Windows Server 2008 for Itanium Systems SP0, SP2,
Windows 7 for 32-bit Systems, x64 Systems, Windows Server 2008 R2 for x64 Systems,
Windows Server 2008 R2 for Itanium-based systems
o 영향 받지 않는 소프트웨어
- .NET Framework 1.0 SP3 on Windows XP Media Center and Tablet PC 2005
[참고사이트]
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS10-070.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS10-070.mspx
* 보안 업데이트 시 주의 사항
- OS 서비스팩 업데이트는 신중히 결정하십시오.
- 불필요한(사용하지 않은 서비스) 서비스는 삭제하여 업데이트 목록에 포함되지 않도록 하십시오.
* 윈도우즈 서버 사용 시 주의 사항
- 최초 셋팅된 Administrator 패스워드는 변경해서 사용하시고 변경한 패스워드는 잊어 버리지 않도록 주의하십시오.
- 개인 컴퓨터에서와 같은 웹서핑, 아웃룩 등의 서비스 이용을 자제하십시오.
- 터미널 접속해서 작업이 완료된 경우 반드시 로그오프하시고 로그 오프가 아닌 셧다운하지 않도록 주의하십시오.
- 최근 SQL Injection 공격을 이용한 악성코드 유포, 피싱 사이트로의 악용 등 웹 해킹의 피해가 심각한 수준에 이르고 있습니다.
- 인터넷침해사고대응센터(http://www.krcert.or.kr/firewall2/index.jsp) 에서 웹방화벽에 대한 정보를 확인할 수 있으며, 웹방화벽 설치를 통해, 한층 보안이 강화되고 안정적인 웹서비스를 하실 수 있습니다.
▶ MSSQL에서 "mass sql injection"을 방지하기 위해 아래링크를 참조하십시오.
공지안내 바로가기
▶ MSSQL 2000 사용자의 경우 "SQL Injection 취약점을 이용한 해킹"을 방지하기 위해 아래 링크를 참조하십시오.
공지안내 바로가기
▶ MSSQL 2005 사용자의 경우 재부팅시 "SQLServer 서비스관리자"가 실행되지 않을 경우, 아래의 링크를 참조하십시오.
공지안내 바로가기
)