본문 바로가기

Security2

[ColdFusion Security] LOG4J 이슈 늦었지만 Coldfusion 서버들의 Log4J 이슈를 정리해 봤습니다. 현재 개발자나 사용자가 신규로 도입하고자 하는 ColdFusion은 대부분 Adobe社의 제품이거나 Lucee와 같은 오픈소스일 확률이 큽니다. 물론 레거시 시스템에서는 구형 Adobe ColdFusion 서버가 구동되고 있을 수 있고, 또 지금은 없어진 회사의 제품이 구동 중일 수 있습니다. 가장 유명하고 사실상 표준인 Adobe의 경우 다음의 링크에서 버전별로 조치방법을 구할 수 있습니다. 각 버전별로 대동소이하므로 자기에게 맞는 버전별 조치를 하시면 되는데 간단하게 설명드리자면, 서버 설치 경로의 jvm.config(텍스트파일)을 열어 임시조치하는 방법과 패치를 설치하는 방법으로 조치합니다. Log4j vulnerability.. 2022. 1. 6.
[ColdFusion Security] Lucee 5.3.7.47 관리자 화면 접속 불가 기본적으로 Lucee Server의 경우 Java기반의 웹어플리케이션 서버이다 보니 Java를 통한 시스템접근에 대한 보안 이슈가 있을 수 밖에 없습니다. 즉, .cfm파일을 작성하여 사용할 때 시스템 내부의 파일과 폴더에 접근이 되는 보안상 문제가 생길 수 있습니다. 분명 어플리케이션을 만들다보면 시스템에 파일을 기록하거나(게시판에서 업로드하는 것과 같은) 아니면, 파일을 삭제하거나, 이동하거나 하는 기능이 필요합니다. 그런데 Web root를 벗어나서 시스템의 중요 파일이 존재하는 /bin이나, /etc 등에 접근이 가능하다면 보안에 매우 취약해 지겠죠? 그래서 Lucee Server의 관리자에 들어가보면 아래 그림처럼 Securty 메뉴에 Access에 대한 다양한 보안기능을 제공합니다. 특히 이중.. 2021. 12. 18.