MS IIS 파일 확장자 처리오류 취약점 주의 > 기술자료 | 해피정닷컴

MS IIS 파일 확장자 처리오류 취약점 주의 > 기술자료

본문 바로가기

사이트 내 전체검색

MS IIS 파일 확장자 처리오류 취약점 주의 > 기술자료

WindowsServer MS IIS 파일 확장자 처리오류 취약점 주의

페이지 정보


본문

□ 개요
   o 마이크로소프트사의 IIS(Internet Information Service)에서 파일 확장자 처리오류로 인한
     보안우회 취약점이 발견됨[1,2,3]
   o 현재 해당 취약점에 대한 보안 업데이트가 발표되지 않았으며 IIS는 국내에서 많이 이용되기
     때문에 해당 서버 관리자는 보안 업데이트가 발표되기 전까지 주의를 요함
 
□ 영향을 받는 시스템
   o Microsoft Internet Information Services 6.x 이하의 모든 버전
 
□ 영향을 받지 않는 시스템
   o Microsoft Internet Information Services 7.5
 
□ 취약점 설명
   o 마이크로소프트의 IIS에서 세미콜론을 이용한 파일 확장자 처리오류를 통해 공격자는
     임의의 파일(웹쉘, Exploit 코드 및 각종 실행파일 등)을 실행할 수 있음 [1,2,3] 
     - 예를 들어 IIS는 "malicious.asp;.jpg" 파일을 ASP 파일로 처리하여 실행
     - 특히 대부분의 파일 업로드 보호 시스템은 파일의 마지막 확장자(JPG)만을 확인하여
       업로드하기 때문에 쉽게 업로드가 가능
 
□ 영향
   o 만약 상기 취약점을 이용하여 공격한 경우 공격자는 취약한 웹서버의 파일 업로드 기능을
     이용하여 웹쉘을 업로드 및 실행한 후 웹서버에 대한 완벽한 권한을 취할 수 있음
   o 또한 악의적인 파일을 업로드한 후 인터넷 사용자의 클릭을 유도하여 사용자 PC에 악성코드를
     감염시킬 수 있음
 
□ 임시 조치방법
   o 파일의 이름 및 확장자를 랜덤한 문자열로 치환하여 업로드 되도록 함 [3]
     ※ 사용자가 입력한 파일이름으로 업로드 되지 않도록 함
   o 업로드 파일 디렉토리에 대한 실행 권한을 해제 [3]
     ※ 설정방법 (Windows 2003 사용자 환경의 예)
      - “제어판 > 관리 도구 > 인터넷 정보 서비스(IIS) 관리”에서 업로드 폴더의 속성 클릭
      - “디렉터리 탭”의 “실행 권한”을 “없음”으로 설정

□ 용어 정리
   o IIS(Internet Information Service): 인터넷정보서비스라 불리며 마이크로소프트 윈도우즈를
     사용하는 서버들을 위한 인터넷 기반 서비스
   o ASP(Active Server Script): 마이크로소프트사에서 개발한 서버 측의 스크립팅 환경
□ 기타 문의사항
   o 보안업데이트는 언제 발표되나요?
     - MS의 공식 보안업데이트 일정은 발표되지 않음, 발표될 경우 KrCERT 홈페이지를 통해
       신속히 공지할 예정입니다
   o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 
□ 참고사이트


참고사이트
http://hacked.tistory.com/438

댓글목록

등록된 댓글이 없습니다.


Total 2,634건 73 페이지
  • RSS
기술자료 목록
1194
ClassicASP   18729  2012-06-13 13:37  
1193
PHP   18195  2012-06-13 03:34  
1192
MySQL   12815  2012-06-13 02:18  
1191
SQL   12767  2012-06-13 01:59  
1190
WindowsServer   16481  2012-06-11 14:35 ~ 2016-02-10 00:00  
열람
WindowsServer   17397  2012-06-11 14:27  
1188
ClassicASP   17823  2012-06-11 12:09 ~ 2012-06-11 00:00  
1187
etc언어   13444  2012-06-11 11:19  
1186
ClassicASP   13630  2012-06-11 06:55  
1185
HTML   53101  2012-06-07 17:46 ~ 2023-11-17 10:41  
1184
JavaScript   27087  2012-06-05 00:48  
1183
HTML   24879  2012-06-04 18:26 ~ 2020-01-19 13:34  
1182
메이크샵   12191  2012-06-02 11:51  
1181
메이크샵   10254  2012-06-02 11:45  
1180
그누보드   19018  2012-06-01 20:26  
1179
HTML   30471  2012-06-01 11:53 ~ 2012-06-02 00:00  
1178
ClassicASP   13379  2012-05-30 19:50  
1177
SQL   19561  2012-05-30 14:36 ~ 2013-09-22 00:00  
1176
SQL   12015  2012-05-30 13:55  
1175
HTML   18025  2012-05-29 21:09  

검색

해피정닷컴 정보

회사소개 회사연혁 협력사 오시는길 서비스 이용약관 개인정보 처리방침

회사명: 해피정닷컴   대표: 정창용   전화: 070-7600-3500   팩스: 042-670-8272
주소: (34368) 대전시 대덕구 대화로 160 대전산업용재유통단지 1동 222호
개인정보보호책임자: 정창용   사업자번호: 119-05-36414
통신판매업신고: 제2024-대전대덕-0405호 [사업자등록확인]  
Copyright 2001~2024 해피정닷컴. All Rights Reserved.