MySQL 신규 취약점 업데이트 발표

Secure/보안공지 2016. 10. 11. 13:06 Posted by 알 수 없는 사용자

Oracle 사의 MySQL에서 원격코드 실행이 가능한 취약점이 발견되었습니다.

MySQL을 사용하는 서비스의 담당자께서는 해당 여부를 확인하시고 업데이트하시길 권고드립니다.

 

---------------------------------------------------------------------------------------------------

MySQL 신규 취약점 업데이트 권고

 

□ 개요

o 오라클 MySQL에서 원격코드 실행 및 권한상승 등의 피해를 발생시킬 수 있는 취약점이 발견됨[1]

MySQL : 오라클에서 개발한 오픈소스 관계형 데이터베이스 관리 시스템

- 공격자가 원격코드 실행 취약점을 이용하여 MySQL 설정 파일을 변경할 경우 공격에 악용될 수 있음

 

□ 내용

o MySQL에서 발생하는 원격코드 실행 및 권한상승 취약점(CVE-2016-6662, CVE-2016-6663)

 

□ 영향 받는 소프트웨어

MySQL 5.7.14 및 이전버전

MySQL 5.6.32 및 이전버전

MySQL 5.5.51 및 이전버전

 

□ 해결방안

MySQL 5.7.15 버전으로 업데이트

MySQL 5.6.33 버전으로 업데이트

MySQL 5.5.52 버전으로 업데이트

 

□ 참고사이트

[1] http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.txt

 

 

'Secure > 보안공지' 카테고리의 다른 글

WannaCry(워너크라이) 랜섬웨어 대응 방법 안내  (0) 2017.05.15
OpenSSL 신규 취약점 보안 업데이트 발표  (0) 2016.10.11
OpenSSL의 신규 취약점에 대한 긴급 보안업데이트 발표  (0) 2016.03.10
SSL 보안인증서 COMODO SHA1 적용 사이트 접속 불가 이슈  (0) 2015.12.18
리눅스 Ghost 취약점 보안 업데이트 권고 (CVE-2015-0245)  (0) 2015.01.29

OpenSSL 신규 취약점 보안 업데이트 발표

Secure/보안공지 2016. 10. 11. 12:56 Posted by 알 수 없는 사용자

OpenSSL에서 신규 취약점을 해결한 보안 업데이트가 발표되었습니다.

해당 취약점은 2016 09 23일 제공된 보안업데이트의 버전에서 영향을 받으므로,

서비스 담당자께서는 해당 여부를 확인하시고 업데이트하시길 권고 드립니다.

 

-----------------------------------------------------------------------------

 

□ 개요

 o OpenSSL에서 임의코드 실행 및 서비스거부 공격이 가능한 취약점을 해결한 보안업데이트를 발표[1]

  - 해당 취약점은 OpenSSL에서 2016 9 22(현지시간)에 제공 된 업데이트 버전에서 발생

 

□ 설명

 o 원격에서 특수하게 조작 된 TLS 메시지를 전송할 경우 발생하는 Use After Free 취약점(CVE-2016-6309)

 o CRL 기능에서 발생하는 NULL 포인터 역참조 취약점(CVE-2016-7052)

 

□ 해당 시스템

 o 영향을 받는 제품

  - OpenSSL 1.1.0a (CVE-2016-6309)

  - OpenSSL 1.0.2i (CVE-2016-7052)

 

□ 해결 방안

 o 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]

  - OpenSSL 1.1.0a 사용자 : 1.1.0b로 업데이트

  - OpenSSL 1.0.2i 사용자 : 1.0.2j로 업데이트

 

[참고사이트]

[1] https://www.openssl.org/news/secadv/20160926.txt

[2] https://www.openssl.org/source/

 

이상입니다.

 

'Secure > 보안공지' 카테고리의 다른 글

WannaCry(워너크라이) 랜섬웨어 대응 방법 안내  (0) 2017.05.15
MySQL 신규 취약점 업데이트 발표  (0) 2016.10.11
OpenSSL의 신규 취약점에 대한 긴급 보안업데이트 발표  (0) 2016.03.10
SSL 보안인증서 COMODO SHA1 적용 사이트 접속 불가 이슈  (0) 2015.12.18
리눅스 Ghost 취약점 보안 업데이트 권고 (CVE-2015-0245)  (0) 2015.01.29

EV 인증서

WEB/WAS 2016. 10. 5. 15:15 Posted by 알 수 없는 사용자

 

image

image

image

 

참고 : https://www.ucert.co.kr/ssl/ev.html

'WEB/WAS' 카테고리의 다른 글

weblogexpert  (0) 2016.04.22
AJP vs HTTP  (0) 2016.01.28
cronolog symblic log 설정  (0) 2015.04.24
Advanced Rest Client (크롬 플러그인)  (0) 2014.11.26
SSL 인증서 SHA1 알고리즘 지원불가 관련 내역  (0) 2014.11.17

Tomcat MaxPermSize

WEB/WAS/Tomcat 2016. 9. 6. 10:43 Posted by 알 수 없는 사용자

Java8부터 메타정보 관리 영역의 메모리 구조가 변경 됨에 따라 pre-java8 옵션을 더 이상 사용 할 수 없습니다.

하지만, 지금까지 pre-java8 옵션으로 설치되어 왔습니다.

 

As-is

-XX:MaxPermSize=256m

 

To-be

-XX:MaxMetaspaceSize=256m

 

 

Java8에 기존 설정 (-XX:MaxPermSize)을 적용하면 다행히도(?) 설정이 무시되고 기본으로 -XX:MaxMetaspaceSize=unlimited 설정됩니다.

MaxMetaspaceSize의 기본 값이 unlimited이기 때문에 어플 특성에 따른 native 메모리 누수 발생시 최악의 경우 아예 OS가 뻗을 수 있을 것 같습니다.

native메모리 누수가 없다고 100% 장담 할 수 없기 때문에 제한을 두어야 한다고 봅니다.

 

대응

l  설치 스크립트에 java8의 경우 -XX:MaxMetaspaceSize=256m 가 적용되게 변경

l  기존 Java8 탑재 Tomcat MaxMetaspaceSize 모니터링

n  MaxMetaspaceSize에 특이사항이 없는지 확인(너무 과도하게 점유하지 않는지)

n  각 서비스 WAS 옵션 변경

저작자표시

'WEB/WAS > Tomcat' 카테고리의 다른 글

Tomcat 6, 7에서 8로 마이그레이션 시 유의해야할 사항  (0) 2017.02.07
Tomcat connector (mod_jk) 관련 주의사항  (0) 2015.11.04
JK FAQ  (0) 2013.11.22

2016년 상반기 워크샵

지메이트 행사 2016. 6. 16. 16:50 Posted by 알 수 없는 사용자




























'지메이트 행사' 카테고리의 다른 글

2016년 종무식  (0) 2017.02.23
2016년 하반기 체육대회  (0) 2016.10.12
2015년 종무식  (0) 2015.12.24
2015년 가을 체육대회  (0) 2015.10.28
2015년도 상반기 워크샵  (0) 2015.06.09

mod_define

WEB/WAS/Apache 2016. 5. 17. 11:55 Posted by 알 수 없는 사용자

 

This module is contained in the mod_define.c file. It provides the definition variables for arbitrary directives, i.e. variables which can be expanded on any(!) directive line. It is compatible with Apache httpd 2.0 and 2.2. It is not compiled into the server by default. To use mod_define you have to enable the following line in the server build Configuration file:

    AddModule  modules/extra/mod_define.o

 

 

http://people.apache.org/~rjung/mod_define/

 

mod_define.c

 


첨부한 파일을 옮긴 후

 

apxs –i – a –c mod_define.c

으로 설치

 

httpd.conf에

----------------------------------------------------

LoadModule define_module    modules/mod_define.so

--------------------------------------------------

자동으로 기입된다.

 

해당 소켓파일은 /apache/module에 위치하니 확인

'WEB/WAS > Apache' 카테고리의 다른 글

Apache log 분리하기  (0) 2017.08.11
Apache rewrite 정리  (0) 2016.01.28
SSL 인증서 비밀번호 제거 확인  (0) 2015.12.30
SSL 인증서 알고리즘 정리  (0) 2015.12.16
Apache pagespeed 설치  (0) 2015.03.18

weblogexpert

WEB/WAS 2016. 4. 22. 15:55 Posted by 알 수 없는 사용자

 

Apache Log 분석툴을 찾다가 사용하기 괜찮아 보이는 툴이 있어서

정보 공유합니다.

clip_image001

Apache Access 파일을 로딩하면 위와 같은 카테고리로 분석이 됩니다.

 

Gernral 은

image

등으로 표시가 되며

 

기본적인 Access 및 Error 로그도 분석이 됩니다.

 

기타 접속 브라우저 등도 깔끔하게 표시가 되어, 월간리포트나 분석용으로 사용하기 좋을 것 같습니다.

 

image

 

세부 내역은 직접 확인 부탁드립니다. 테스트 페이지 입니다.

https://www.weblogexpert.com/sample/index.htm

'WEB/WAS' 카테고리의 다른 글

EV 인증서  (0) 2016.10.05
AJP vs HTTP  (0) 2016.01.28
cronolog symblic log 설정  (0) 2015.04.24
Advanced Rest Client (크롬 플러그인)  (0) 2014.11.26
SSL 인증서 SHA1 알고리즘 지원불가 관련 내역  (0) 2014.11.17

OpenSSL의 신규 취약점에 대한 긴급 보안업데이트 발표

Secure/보안공지 2016. 3. 10. 12:16 Posted by 알 수 없는 사용자

2016/03/02 오후 14:00 OpenSSL의 신규 취약점에 대한 긴급 보안업데이트가 발표되었습니다공격자가 취약점을 악용하면 중간에서 SSL, TLS 통신을 복호화할 수 있습니다.

----------------------------------------------------------------------------------

□ 개요

o 3 1(현지시간오픈SSL SSLv2 규격(Protocol)에 대한 긴급 업데이트 발표[1]

o SSL 취약점을 이용한 신종 공격 방식인 DROWN, CacheBleed에 대한 보안 업데이트 등

- DROWN(Decrypting RSA with Obsolete and Weakened eNcryption)

- CacheBleed: 인텔 프로세서의 Cache-bank 충돌로 인한 정보 노출을 이용한 부채널 공격

 

□ 영향 받는 사용자

- OpenSSL 1.0.2

- OpenSSL 1.0.1

 

□ 업데이트 내용

o SSLv2 프로토콜 비활성화 기본 설정 및 SSLv2 EXPORT 암호화 제거 등

 

□ 취약점 내용 및 권고사항

o DROWN: 낡고 취약한 암호화를 통한 RSA 복호화 취약점

- RSA(Rivest Shamir Adleman): 공개키 암호화 알고리즘의 하나

CVEs

심각도

내용

비고

CVE-2016-0800

높음

SSLv2를 이용한 TLS에 대한 프로토콜 간 공격

DROWN

CVE-2016-0705

낮음

DFB, 발생 빈도 낮음

 

CVE-2016-0798

낮음

SRP 데이터베이스에서의 메모리 누수

 

CVE-2016-0797

낮음

널 포인터 역참조 및 힙 커럽션

 

CVE-2016-0799

낮음

고정 메모리 이슈

 

CVE-2016-0702

낮음

부채널 공격

CacheBleed

CVE-2016-0703

높음

분할 정복 알고리즘

 

CVE-2016-0704

보통

Bleichenbacher 공격

 

 

□ 용어 설명

o DFB(Double-Free Bug): 힙 오버플로우에 기반을 둔 공격으로원하는 위치의 메모리를 사용하기 위한 방법

널 포인터 역참조(Null Pointer Dereference): 널 포인터에 임의의 값을 대입하여 발생하는 에러

힙 커럽션(Heap Corruption): 동적 할당한 크기보다 더 큰 영역에 접근함으로써 발생하는 에러

부채널 공격(Side Channel Attack): 알고리즘의 약점을 찾거나 무차별 공격을 하는 대신 암호 체계의 물리적인 구현 과정의 정보를 기반으로 하는 공격 방법

분할 정복 알고리즘(Divide-and-conquer): 그대로 해결할 수 없는 문제를 작은 문제로 분할하여 문제를 해결하는 방법

o Bleichenbacher 공격: RSA 암호화 메시지 내용을 점차적으로 노출하기 위한 공격

 

□ 해결 방안

해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트[2]

- OpenSSL 1.0.2 사용자: 1.0.2g로 업데이트

- OpenSSL 1.0.1 사용자: 1.0.1s로 업데이트임의코드 실행으로 이어질 수 있는 use-after-free 취약점(CVE-2015-7629, CVE-2015-7631, CVE-2015-7643, CVE-2015-7644)

 

□ 참고사이트

   [1] https://www.openssl.org/news/secadv/20160301.txt

   [2] https://www.openssl.org/

'Secure > 보안공지' 카테고리의 다른 글

MySQL 신규 취약점 업데이트 발표  (0) 2016.10.11
OpenSSL 신규 취약점 보안 업데이트 발표  (0) 2016.10.11
SSL 보안인증서 COMODO SHA1 적용 사이트 접속 불가 이슈  (0) 2015.12.18
리눅스 Ghost 취약점 보안 업데이트 권고 (CVE-2015-0245)  (0) 2015.01.29
[보안 공지] 2013년 8월 MS 정기 보안업데이트 권고  (0) 2013.08.19

Apache rewrite 정리

WEB/WAS/Apache 2016. 1. 28. 14:10 Posted by 알 수 없는 사용자

[Rewrite 지시자]

. : 다수의 한문자
? : 0개 이상의 한문자
* : 0개 이상의 문자 또는 문자열
+ : 1개 이상의 문자 또는 문자열
(chars) : (, ) 안의 문자또는 문자열을 그룹으로 묶는다.
          이 문자그룹은 Substitution(return URL)에서 $N 의 변수로 활용할수 있다.
^ : 문자열의 첫문(열)을 지정
$ : 문자열의 끝 문자(열)을 지정
(역슬래쉬) : 정규표현식에서 특별한 의미로 사용되는 문자의 특수기능을 제거
{n} : 정확히 n번 반복
{n,} : n번 이상 반복
{n,m} : n 이상 m 이하 반복
[chars] : 문자들의 범위 또는 표현할 수 있는 문자들을 설정합니다.
예) [a-z] : a 부터 z 까지의 소문자, [tT] : 소문자 t 또는 대문자 T

[Rewrite Subrutine 지시자]

L : 뒤구문 여부를 무시하고 그 줄에서 끝낸다.
N : 새로운 Rule이 시작된다는 의미.
R : Redirection. 무조건 넘긴다. 뒤 주소로 넘긴다는 의미.
NC : 대소문자를 구별하지 않는다.
OR : 프로그래밍의 or와 유사.
QSA : Cond의 내용을 지난 결과에 덧붙인다.
NE : Out 될 값에 특수문자가 HexCode로 되어 포함되어 있는 경우.


=======================================================================================


예제)


[test.com을 www.test.com으로 리다이렉트]

RewriteEngine On
RewriteCond %{HTTP_HOST} ^(test\.com)
RewriteRule (.*)  http://www.test.com/$1  [L]


[www.test.com, test.com으로 시작하는 주소를 www.sample.co.kr로 리다이렉트]

RewriteEngine On
RewriteCond %{HTTP_HOST} ^(www\.test\.com|test\.com)
RewriteRule (.*)  http://www.sample.co.kr/$1  [L]


[www.test.com으로 시작하는 주소를 www.sample.co.kr로 리다이렉트]

RewriteEngine On
RewriteCond %{HTTP_HOST} ^(www\.test\.com)
RewriteRule (.*)  http://www.sample.co.kr/$1  [L]


[test.com을 test.com/sub 로 리다이렉트]

RewriteEngine On
RewriteCond %{HTTP_HOST} ^(test\.com|www\.test\.com)
RewriteRule (.*)  /sample/$1  [L]


[test.com/sample를 하위 주소까지 ccc.co.kr로 리다이렉트 (영구 이동)]

RewriteEngine On
RewriteRule (.*)  http://www.ccc.co.kr/$1  [R=301,L]

또는

RewriteEngine On
RewriteRule  ^sample/(.*)  http://www.ccc.co.kr/$1  [R=301,L]
(여기서 R=301은 그 주소로 영구이동.
 이렇게 하면 도메인 주소를 바꿨을 때에 검색기들이 알아 차리고, 옛 주소를 새 주소로 갱신할 수 있다.)


[test.com이 들어가는 모든 주소(서브도메인 포함)를 sample.co.kr로 리다이렉트]

RewriteEngine On
RewriteCond %{HTTP_HOST} test\.com
RewriteRule ^(.+) %{HTTP_HOST}$1 [C]
RewriteRule ^([^.]+)\.test\.com(.*)  http://$1.sample.co.kr/$2  [L]
RewriteRule ^test\.com(.*)  http://sample.co.kr/$1  [L]


[모든 요청을 SSL로 리다이렉트]

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R,L]


[https://www.test.com/m 하위 세부경로 표기]

RewriteRule !^/m https://www.test.com/m%{REQUEST_URI} [R=301,L]

'WEB/WAS > Apache' 카테고리의 다른 글

Apache log 분리하기  (0) 2017.08.11
mod_define  (0) 2016.05.17
SSL 인증서 비밀번호 제거 확인  (0) 2015.12.30
SSL 인증서 알고리즘 정리  (0) 2015.12.16
Apache pagespeed 설치  (0) 2015.03.18

AJP vs HTTP

WEB/WAS 2016. 1. 28. 11:51 Posted by 알 수 없는 사용자
AJP
  • Not a binary protocol
    • Common headers and values encoded
    • Other values in plain text
    • Request and response bodies in plain text
  • Request headers must fit in a single AJP message
    • Default 8192
    • Max 65536
  • Supports passing of SSL termination information
  • Does not directly support encryption
    • IPSec, VPN, SSH tunnel, etc.
 
HTTP
  • Clear text protocol
    • Easy to read
  • No limit on request header size
  • Does not directly support providing SSL termination information
    • Can be added by httpd using custom headers
    • Can be processed by Tomcat using the SSLValve (undocumented)
  • Supports encryption via HTTPS
 
AJP vs. HTTP
  • If terminating SSL at httpd and you need the SSL information
    • Use AJP
  • If you need to encrypt the httpd to Tomcat channel
    • Use HTTP
  • If you need both
    • Use HTTP
    • It is (usually) easier to pass SSL information over HTTP than it is to encrypt AJP
  • If you need neither
    • Pick the one you are more familiar with – debugging problems will be easier
 
mod_jk
  • Only supports AJP
  • Developed by the Tomcat committers
  • Non-httpd style configuration
  • More complex URL mappings are simpler to write
  • Binaries only provided for Windows
 
 
mod_proxy
  • Supports AJP and HTTP
  • Included as standard with httpd
  • Uses httpd style configuration
  • More complex URL mappings are trickier to write
  • Binaries provided for most platforms

 

 

참고

http://wiki.apache.org/tomcat/FAQ/Connectors

'WEB/WAS' 카테고리의 다른 글

EV 인증서  (0) 2016.10.05
weblogexpert  (0) 2016.04.22
cronolog symblic log 설정  (0) 2015.04.24
Advanced Rest Client (크롬 플러그인)  (0) 2014.11.26
SSL 인증서 SHA1 알고리즘 지원불가 관련 내역  (0) 2014.11.17
 

티스토리툴바