2020년 3월 25일 보안정보 스크래핑

-

2020년 3월 25일 보안정보 스크래핑

3월 25일 보안정보 스크래핑

====================================================================

+ 주요 취약점 - 메일전송 프로토콜을 이용한 원격 명령어 실행 주의 권고 외 1건

1. 메일전송 프로토콜을 이용한 원격 명령어 실행 주의 권고

최근 OpenSMTPD* 취약점이 발견되는 등 메일전송 프로토콜에서 원격 명령어 실행이 가능하여 주의를 권고함

공격자는 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해결방안을 참고하여 조치 필요

- https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35302

2. Django 제품 SQL Injection 취약점 보안 업데이트 권고

최근 Django*에서 SQL Injection취약점(CVE-2020-9402)을 악용할 수 있는 개념증명코드(Proof of concept, PoC)가 인터넷상에 공개되어 사용자의 보안 업데이트 필요

- https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35301

====================================================================

+ 취약점 - Apple Safari 취약점

1. Apple Safari 취약점

Apple Safari security bypass

CVE-2020-3885

- https://exchange.xforce.ibmcloud.com/vulnerabilities/178339

Apple Safari security bypass

CVE-2020-3887

- https://exchange.xforce.ibmcloud.com/vulnerabilities/178338

Apple Safari information disclosure

CVE-2020-3894

- https://exchange.xforce.ibmcloud.com/vulnerabilities/178337

Apple Safari code execution

CVE-2020-3895

- https://exchange.xforce.ibmcloud.com/vulnerabilities/178336

Apple Safari code execution

CVE-2020-3897

- https://exchange.xforce.ibmcloud.com/vulnerabilities/178335

Apple Safari code execution

CVE-2020-3899

- https://exchange.xforce.ibmcloud.com/vulnerabilities/178334

Apple Safari code execution

CVE-2020-3901

- https://exchange.xforce.ibmcloud.com/vulnerabilities/178333

Apple Safari cross-site scripting

CVE-2020-3902

- https://exchange.xforce.ibmcloud.com/vulnerabilities/178332

Apple Safari code execution

CVE-2020-9783

- https://exchange.xforce.ibmcloud.com/vulnerabilities/178331

Apple Safari security bypass

CVE-2020-9784

- https://exchange.xforce.ibmcloud.com/vulnerabilities/178330

Apple Safari code execution

CVE-2020-3900

- https://exchange.xforce.ibmcloud.com/vulnerabilities/178329

====================================================================

+ 보안이슈 - 특이사항 없음

====================================================================

공유하기 글 요소 저작자표시

from http://dhrgl.tistory.com/202 by ccl(A) rewrite - 2020-03-25 20:20:11

댓글

댓글 쓰기

이 블로그의 인기 게시물

Django Rest Api 참고

-
Django Rest Api 참고 - 테스트 코드 파일 업로드 (post) rest_frameworkdjango-rest-framework 설치 pip3 install djangorestframework urls.py from django.urls import path from . import views app_name = 'test' urlpatterns = [ path('chp/', views.chp, name='chp/'), path('chp_up', views.chp_up, name='chp_up'), ] models.py from django.db import models from django.utils import timezone class Project(models.Model): idx = models.AutoField(primary_key=True, verbose_name='idx') p_id = models.CharField(max_length=30, verbose_name='프로젝트 아이디', help_text='프로젝트 아이디') ... p_reg_date = models.DateTimeField(auto_now_add=True, verbose_name='등록일', help_text='등록일') p_edit_date = models.DateTimeField(auto_now=True, verbose_name='수정일', help_text='수정일') class Meta: db_table = '테이블 이름' verbose_name='프로젝트' verbose_name_plural = '프로젝트' view.py import os, json, datetime from inc.models import Pro
자세한 내용 보기

Elasticsearch-dsl 삽질 복기(1)

-
Elasticsearch-dsl 삽질 복기(1) 로그 분석 기능 개발 중. 향후 통합 로그 관리 기능을 염두에 두고 Elastic Stack 으로 밑그림을 그리고 시작했는데 당장의 요건은 장애 발생 후 로그 파일을 토대로 원인 추적, 분석이 핵심이다보니 편리한 하향식 검색 기능이 중요한 상황이다. Kibana 만으로 화면 구성하는 것은 한계가 있다고 판단하고 Elastic Search(이하 ES) API 이용한 화면 개발 쪽으로 가닥 잡고 레퍼런스 검색. ES 잘 모르는데, Python 웹 프로그램 개발 안해봤는데, Vue.js 써본 적 없는데 ... 그래도 이 글이 제일 깔끔해보이기에 따라 가보기로 했다. 우선 글 대로 따라하기. 안 된다. documnets.py 의 @talks.doc_type 부분에서 문제 발생했는데 ES 7.* 대에서는 Index 에서 doc_type 속성이 deprecated 된 탓. 맞는지는 모르겠지만 @registry.register_document 로 바꾸고 나니 동작한다. 따라하기로 짠 djanog 앱 소스 복사해서 우리 데이터에 맞추어 model, search, template 수정. 안 된다. 당연하게도. 에러 추적했던거 기록해두지 않아 정확히는 기억나지 않지만 복기해보자면 대충 id 의 type 문제 때문에 search.py 의 TalkDocument.search().query(query) 에서 문제 생겼던 것 같다. 일단 어찌되나 보자 싶어 과격하게 elasticsearch-dsl 소스 까서 id 타입 체크하는 부분 막아봤다. 에러는 안 나는데 결과값이 아무 것도 안나온다. 에러 조차 안나니 추적이 더 안된다 ㅜㅠ Logstash 에서 데이터 파싱할 떄 ID 필드 추가하고 int 타입의 일련값을 생성해줘봤다. 안된다 ㅜㅠ. 이 후 생쇼하면서 하루 날린거는 패스. 처음부터 찬찬히 다시 생각해보았다. 각 기술 요소 지식이 부족하니 추적은 어려웠지만 원인은 간단했다. 레퍼런스의
자세한 내용 보기

스프링 프레임워크(Spring Framework)란?

-
스프링 프레임워크(Spring Framework)란? "코드로 배우느 스프링 웹 프로젝트"책을 개인 공부 후 자료를 남기기 위한 목적이기에 내용 상에 오류가 있을 수 있습니다. '스프링 프레임워크'가 무엇인지 말 할 수 있고, 해당 프레임워크의 특징 및 장단점을 설명할 수 잇는 것을 목표로합니다. 1. 프레임워크란? 2. 스프링 프레임워크 "뼈대나 근간을 이루는 코드들의 묶음" Spring(Java의 웹 프레임워크), Django(Python의 웹 프레임워크), Flask(Python의 마이크로 웹 프레임워크), Ruby on rails(Ruby의 웹 프레임워크), .NET Framework, Node.js(Express.js 프레임워크) 등등. 프레임워 워크 종류 : 3. 개발 시간을 단축할 수 있다. 2. 일정한 품질이 보장된 결과물을 얻을 수 있다. 1. 실력이 부족한 개발자라 허다러도 반쯤 완성한 상태에서 필요한 부분을 조립하는 형태의 개발이 가능하다. 프레임워크를 사용하면 크게 다음 3가지의 장점 이 있습니다. 프레임워크 이용 한다는 의미 : 프로그램의 기본 흐름이나 구조를 정하고, 모든 팀원이 이 구조에 자신의 코드를 추가하는 방식으로 개발 한다. => 이러한 상황을 극복하기 위한 코드의 결과물이 '프레임워크' 입니다. 개발자는 각 개개인의 능력차이가 크고, 따라서 개발자 구성에 따라서 프로젝트의 결과 차이가 큽니다. 2. 스프링 프레임워크(Spring Framework) 자바 플랫폼을 위한 오픈 소스 애플리케이션 스프링의 다른 프레임워크와 가장 큰 차이점은 다른 프레임워크들의 포용 입니다. 이는 다시말해 기본 뼈대를 흔들지 않고, 여러 종류의 프레임워크를 혼용해서 사용할 수 있다는 점입니다. 대한민국 공공기관의 웹 서비스 개발 시 사용을 권장하고 있는 전자정부 표준프레임워크 이다. 여러 프레임워크들 중 자바(JAV
자세한 내용 보기