본문 바로가기
반응형

Security Trend Report100

오픈소스인 ProFTPD에서 취약점 발견 오픈소스 파일 전송 프로토콜(FTP) 중 ProFTPD에서 취약점이 발견됐다. 작년 2018년 9월부터 문제가 있었지만, 개발사는 최근에서야 움직이기 시작했고, 현재까지 패치가 적용된 버전은 발표되지 않고 있다. 발견된 취약점을 통하여 익스플로잇 할 경우 파일을 취약한 서버로 복사할 수 있게 되며, 이를 통하여 임의의 코드를 실행할 수 있게 된다. ProFTPD는 리눅스나 유닉스 환경에서 인기가 높아 많은 조직들과 프로젝트 사용되고 있어 악용될 경우 상당한 피해를 입을 것으로 예상된다. Debian Linux와 Suse Linux 개발자들도 이와 관련된 권고문을 발표했으며, "원격 코드 실행과 인증 없는 정보 노출을 허용하는 공격"이라고 설명했다. 독일의 보안 전문가인 토비아스 마델(Tobias Mäde.. 2019. 8. 1.
재학생 정보, 한양대는 전송 실수를.. 고려대는 검색으로.. 한양대 총학생회에 따르면, 7월 15일 교내 교수학습센터에서 학습협력 프로그램 모든 참가자의 개인정보가 담긴 파일을 참가자 전원의 이메일로 보내는 사고가 일어났다. 해당 파일에는 학번, 이름, 학과, 연락처, 이메일, 주민등록번호, 거래 은행 및 계좌번호 등이 포함되어 있었다. 피해자는 모두 350여명으로, 사고 당일 저녁 피해 사실을 파악한 총학생회는 TF를 구성하고 다음 날 16일 대학에 후속 조치를 요청했다. 학교는 교수학습센터장 명의로 된 사과문 및 개인정보 수신메일 삭제 요청 메시지를 참가자 전원에게 보냈다. 총학생회는 학교 측에 공문을 통하여 피해보상 및 재발 방지 대책, 사과 등을 요구했으나, 학교는 사과문, 삭제 요청 메시지 외 별도의 조치를 취하지 않았다. 고려대는 1,245명의 재학생의.. 2019. 8. 1.
미국 CISA, VPN 제품들에 대한 취약점 경고문 발표 미국의 사이버 보안 및 기반 시설 보안국(CISA; The Cybersecurity and Infrastructure Security Agency)에서 지난 7월 26일 가상사설망(VPN) Application에서 발견된 취약점들에 대한 경고문을 발표했다. 경고문에서 거론된 회사 및 제품군들은 아래와 같다. 1. Palo Alto Networks의 GlobalProtect Portal과 GlobalProtect Gateway Interface 제품군 2. FortiGuard의 FortiOS System 제품군 3. Pulse Security의 Pulse Connect Secure와 Pulse Policy Secure 제품군 Palo Alto의 제품군에서는 인증 받지 못한 공격자가 임의의 코드를 실행할 수.. 2019. 8. 1.
국내 64개 대학, ID·Password 평문 전송 국내 300여개의 대학의 로그인 과정에서 64개 대학이 ID·Password 정보가 평문으로 전송되는 것을 우리나라의 미래 보안인재 육성사업인 '차세대 보안리더 양성 프로그램(BoB)' 7기 수료생들이 찾아냈다. 'BoB 7기'에서 수료생 사후관리 프로젝트의 일환으로 BoB 이경문 멘토를 주축으로 7기 수료생 국주희, 김명수, 김성수, 김수연, 김종훈, 조성훈, 황태원으로 구성된 dadga팀이 국내 329개의 대학 로그인 보안을 점검한 결과였다. dadga 프로젝트의 결과는 https://dadga.gitlab.io/를 통하여 확인이 가능하며, dadga팀은 향후 고등학교, 중학교, 유치원, 정부기관, 병원 등 다양한 사이트들을 대상으로 점검을 확대해 나갈 계획이라고 한다. 2019. 8. 1.
728x90

티스토리툴바