Apache commons-collection Vulnerability

시스템 2015. 11. 12. 10:48

 

 

o 자바 관련 공통 컴포넌트 개발을 위한 Apache commons-collection 라이브러리[1]에서원격코드실행 취약점이 발견

o 공격자가 취약한 대상 서비스에 악의적인 데이터를 삽입하여 전송할 경우 시스템 명령어 실행, 

  악성코드 다운로드 및 실행

  

 

[그림 1-1]

exploit 실행을 위해 취약한 버전의 WebLogic 11g를 설치

 

[그럼 1-2]

3.2.0 버전을 사용중인걸로 보이고  Apache commons-collection 라이브러리 Version 3.0 ~ 4.0 취약한 버전으로 보임

commons-collection 취약한 3.2.0 버전을 쓰기 위해 상 서버 환경은 jdk1.60.24 Weblogic 11g

공격 환경은 jdk 1.8.0.65

서버 환경과 공격 환경의 jdk 버전이 일치 하지 않아서 환경 구축하기가 좀 까다로움

JDeveloper Studio사용중인데  11.1.2.4.0에서 jdk 1.8에서는 또 동작을 안함

 

 

참고 사이트

http://krcert.or.kr

http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/

 

'시스템' 카테고리의 다른 글

리눅스 node-gyp 에러 error  (0) 2018.11.23
시스템 해킹 자동화 공격 exploit  (0) 2016.03.12
취약점 패치 어떻게 하면 좋을가?  (1) 2016.02.18
IIS UNICODE BUG  (0) 2015.12.07
Kernel compile  (0) 2015.11.09
블로그 이미지

iesay

,

salt

암호학 2015. 11. 10. 10:14

소금을 치다라는 뜻을 가진 salt  로 유닉스 패스워드의 경우 동일한 암호를 입력해도

shadow에서 다르게 보인다.

 

레인보우 테이블? hash 테이블에 대한 저항성을 가진다.

암호 알고리즘에 대한 저항성인 collision과는 연관이 없다.

encrypt('abc')     

pVPHn3wOMFC8.

앞자리 두 자리가 salt이다.


http://coffeenix.net/doc/php-4.2.3/ko/function.crypt.html

 

블로그 이미지

iesay

,

zest.sh

OWASP ZAP 2015. 11. 10. 09:37

 

zest-0.5.zip

OWASP ZAP에서 zest.sh를 활용한 취약점 점검

'OWASP ZAP' 카테고리의 다른 글

OWASP ZAP Dynamic SSL Certficates  (0) 2015.11.09
블로그 이미지

iesay

,

공지사항

최근에 받은 트랙백

글 보관함

달력

«   2025/02   »
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28

티스토리툴바