전자정부프레임워크 3.x -> 3.5.2 마이그레이션 문의
- 작성자 :
- 박*웅
- 작성일 :
- 2019-06-19 09:10:10
- 조회수 :
- 1,935
- 구분 :
- 실행환경
- 진행상태 :
- 완료
Q
안녕하세요.
현재 자사의 웹어플리케이션에 전자정부프레임워크 3.1 버전 + java 1.6 버전으로 사용 중입니다.
이번에 보안점검결과로써 아래의 취약점이 발생함에 따라
전자정부프레임워크 버전을 3.5.2버전으로 업그레이드해야합니다.
- 공개된 전자정부 프레임워크 취약점에 대한 업데이트 미적용
- 공개된 취약점을 통한 디렉토리 접근 가능
'../' 제거를 통한 스크립트 생성 가능 (ex: p../ass../wor../d)
3.x -> 3.5 마이그레이션 가이드에 java1.7 버전 사용을 권고하고있는데요...
현재 서버환경이 JBOSS7 + java 1.6 환경이며, java 1.7버전으로의 업그레이드는 불가능합니다.
현상황에서 아래 문의를 드리고자 합니다.
1. 전자정부프레임워크 3.x 버전에 3.5 버전의 보안취약패치만 별개로 적용이 가능한지 여부
2. 3.5.2 버전에서 진행된 보안패치의 항목 상세내역
문의 답변 게시판에서 항상 많은 도움을 얻고 있습니다.
감사합니다.
현재 자사의 웹어플리케이션에 전자정부프레임워크 3.1 버전 + java 1.6 버전으로 사용 중입니다.
이번에 보안점검결과로써 아래의 취약점이 발생함에 따라
전자정부프레임워크 버전을 3.5.2버전으로 업그레이드해야합니다.
- 공개된 전자정부 프레임워크 취약점에 대한 업데이트 미적용
- 공개된 취약점을 통한 디렉토리 접근 가능
'../' 제거를 통한 스크립트 생성 가능 (ex: p../ass../wor../d)
3.x -> 3.5 마이그레이션 가이드에 java1.7 버전 사용을 권고하고있는데요...
현재 서버환경이 JBOSS7 + java 1.6 환경이며, java 1.7버전으로의 업그레이드는 불가능합니다.
현상황에서 아래 문의를 드리고자 합니다.
1. 전자정부프레임워크 3.x 버전에 3.5 버전의 보안취약패치만 별개로 적용이 가능한지 여부
2. 3.5.2 버전에서 진행된 보안패치의 항목 상세내역
문의 답변 게시판에서 항상 많은 도움을 얻고 있습니다.
감사합니다.
A
안녕하십니까, 표준프레임워크센터입니다.
표준프레임워크 3.5.2 다음 버전인 3.5.3 버전을 말씀하시는거 같습니다.
1. 현재 3.5 버전 이후 jdk1.7 필수 사용이 필요합니다. Spring 3.X --> 4.x 로 변경이 있었기 때문에 3.5.3 별개
버전을 사용하고 싶으시다면, JDK의 업그레이드가 필요합니다. 그외는 시스템에 따른 디펜던시 분석이 필요하십니다.
2. 보안패치 상세 내역
* 대상업무
- 템플릿 관리, 실명인증, 팝업창관리, 설문조사, 페이지링크
* 조치내용
1) 파라미터로 전달받은 경로에 대한 부적절한 문자 제거
2) 화이트리스트를 구성하여 목록에 있는 경우만 제한적으로 허용하도록 조치
* 적용 방법
1) 보안패치 소스 파일 다운로드
2) 화이트리스트 적용(Bean을 활용한 처리)
- "context-whitelist.xml" 를 "/src/main/resources/egovframework/spring/com/" 폴더에 추가 저장하여 빈 설정 파일을 생성
- 실명인증, 페이지링크 부분을 업무에 적용중일 경우 패치 사항 확인하여 반영
- 대상 소스 파일
src/main/java/egovframework/com/cmm/web/EgovComUtlController.java
src/main/java/egovframework/com/sec/rnc/web/EgovRlnmManageController.java
src/main/java/egovframework/com/cop/cmy/web/EgovCommuManageController.java
3) 화이트리스트 적용((DB를 활용한 처리)
을 체크해보시기 바랍니다.
마지막으로
3.2.x로에 대한 업그레이드 (jdk1.6 가능)
해당 파일은
http://www.egovframe.go.kr/EgovEnvReleaseCom.jsp?menu=3&submenu=4&leftsub=2#
링크 하단 3.2.x 에 있습니다.
감사합니다.
표준프레임워크 3.5.2 다음 버전인 3.5.3 버전을 말씀하시는거 같습니다.
1. 현재 3.5 버전 이후 jdk1.7 필수 사용이 필요합니다. Spring 3.X --> 4.x 로 변경이 있었기 때문에 3.5.3 별개
버전을 사용하고 싶으시다면, JDK의 업그레이드가 필요합니다. 그외는 시스템에 따른 디펜던시 분석이 필요하십니다.
2. 보안패치 상세 내역
* 대상업무
- 템플릿 관리, 실명인증, 팝업창관리, 설문조사, 페이지링크
* 조치내용
1) 파라미터로 전달받은 경로에 대한 부적절한 문자 제거
2) 화이트리스트를 구성하여 목록에 있는 경우만 제한적으로 허용하도록 조치
* 적용 방법
1) 보안패치 소스 파일 다운로드
2) 화이트리스트 적용(Bean을 활용한 처리)
- "context-whitelist.xml" 를 "/src/main/resources/egovframework/spring/com/" 폴더에 추가 저장하여 빈 설정 파일을 생성
- 실명인증, 페이지링크 부분을 업무에 적용중일 경우 패치 사항 확인하여 반영
- 대상 소스 파일
src/main/java/egovframework/com/cmm/web/EgovComUtlController.java
src/main/java/egovframework/com/sec/rnc/web/EgovRlnmManageController.java
src/main/java/egovframework/com/cop/cmy/web/EgovCommuManageController.java
3) 화이트리스트 적용((DB를 활용한 처리)
을 체크해보시기 바랍니다.
마지막으로
3.2.x로에 대한 업그레이드 (jdk1.6 가능)
해당 파일은
http://www.egovframe.go.kr/EgovEnvReleaseCom.jsp?menu=3&submenu=4&leftsub=2#
링크 하단 3.2.x 에 있습니다.
감사합니다.