본문 바로가기

Lucee4

[ColdFusion Security] LOG4J 이슈 늦었지만 Coldfusion 서버들의 Log4J 이슈를 정리해 봤습니다. 현재 개발자나 사용자가 신규로 도입하고자 하는 ColdFusion은 대부분 Adobe社의 제품이거나 Lucee와 같은 오픈소스일 확률이 큽니다. 물론 레거시 시스템에서는 구형 Adobe ColdFusion 서버가 구동되고 있을 수 있고, 또 지금은 없어진 회사의 제품이 구동 중일 수 있습니다. 가장 유명하고 사실상 표준인 Adobe의 경우 다음의 링크에서 버전별로 조치방법을 구할 수 있습니다. 각 버전별로 대동소이하므로 자기에게 맞는 버전별 조치를 하시면 되는데 간단하게 설명드리자면, 서버 설치 경로의 jvm.config(텍스트파일)을 열어 임시조치하는 방법과 패치를 설치하는 방법으로 조치합니다. Log4j vulnerability.. 2022. 1. 6.
[ColdFusion Security] Lucee 5.3.7.47 관리자 화면 접속 불가 기본적으로 Lucee Server의 경우 Java기반의 웹어플리케이션 서버이다 보니 Java를 통한 시스템접근에 대한 보안 이슈가 있을 수 밖에 없습니다. 즉, .cfm파일을 작성하여 사용할 때 시스템 내부의 파일과 폴더에 접근이 되는 보안상 문제가 생길 수 있습니다. 분명 어플리케이션을 만들다보면 시스템에 파일을 기록하거나(게시판에서 업로드하는 것과 같은) 아니면, 파일을 삭제하거나, 이동하거나 하는 기능이 필요합니다. 그런데 Web root를 벗어나서 시스템의 중요 파일이 존재하는 /bin이나, /etc 등에 접근이 가능하다면 보안에 매우 취약해 지겠죠? 그래서 Lucee Server의 관리자에 들어가보면 아래 그림처럼 Securty 메뉴에 Access에 대한 다양한 보안기능을 제공합니다. 특히 이중.. 2021. 12. 18.
Adobe ColdFusion Pre-Release Program Closure Adobe는 자사의 SW제품을 출시하기전에 일종의 베타테스트를 위해 특별히 지원한 테스터들에게 출시전 제품을 제공하고 피드백을 받는 프로그램을 운영중에 있습니다. 유명한 포토샵은 물론이거니와 제가 참여하는 Dreamweaver나 서버제품군인 ColdFusion도 운영중인데 엊그제 ColdFusion의 프리릴리즈 프로그램은 종료한다는 메일이 왔네요. 그냥 닫는다는 것인지, 저에게만 닫는다는 것인지. ㅋㅋ 설명도 없고 참 성의없네요. 이유조차 없이 닫는거 보니 그동안 이 프로그램의 성과가 별로 없었나 봅니다. 사실 저 역시 새 릴리즈가 올라오면 깔아서 써보도 열심히 오류나 개선점을 리포트하면 좋은데 단 한번도 ㅋ 영어가 안된다는 이유를 핑계로 한글지원쪽 오류가 아니면 리포트를 해본 적이 없습니다. ㅠㅠ 그래.. 2021. 4. 17.
Lucee Server에서 Remote address가 127.0.0.1로만 반환될 때 Lucee ColdFusion Server를 설치 후 CGI.REMOTE_ADDR 변수의 반환 값이 항상 127.0.0.1로만 반환 될 때 Lucee가 Deploy된 Tomcat의 web.xml에 아래의 코드를 추가해야 합니다. Lucee는 Tomcat에 deploy된 상태로 배포되기 때문에 별도의 Tomcat 등의 서버에 웹아카이브(WAR)로 배포하지 않았다면 기본 설치경로 예를 들어 Linux의 경우는 /opt/lucee/tomcat 이 됩니다. /opt/lucee/tomcat/conf/web.xml를 편집기로 열고 맨 마지막 노드 바로 위에 아래의 코드를 추가하시고 Lucee를 재시작하면 됩니다. RemoteIpFilter org.apache.catalina.filters.RemoteIpFilter.. 2019. 9. 3.