보안성 검토 관련 질문있습니다.
- 작성자 :
- 이*기
- 작성일 :
- 2019-03-27 17:20:37
- 조회수 :
- 1,987
- 구분 :
- 개발환경
- 진행상태 :
- 완료
Q
보안성 검토를 진행하였습니다..
3.7 버전을 사용하였구요
파일 : egovframework/com/cmm/service/EgovFileMngUtil.java
87 라인 : File saveFolder = new File(EgovWebUtil.filePathBlackList(storePathString));
127 라인 : file.transferTo(new File(EgovWebUtil.filePathBlackList(filePath)));
209 라인 : File file = new File(EgovWebUtil.filePathBlackList(downFileName));
231 라인 : fin = new BufferedInputStream(new FileInputStream(file));
입력 데이터 검증 및 표현 : 경로조작
외부 입력 값으로 파일명이 사용될 경우 경로추적(Directory Traversal) 공격이 시도될 수 있습니다.
경로추적이란 ./ 또는 ../와 같은 문자열을 사용하여 상대경로 참조 방식으로 Web Root 외에 다른 디렉터리의 중요파일(passwd, hosts, log 등
)에 접근하는 공격 방법입니다.
이런 내용을 받았습니다..
이것말고도 많은데..
3.7 버전을 사용하였구요
파일 : egovframework/com/cmm/service/EgovFileMngUtil.java
87 라인 : File saveFolder = new File(EgovWebUtil.filePathBlackList(storePathString));
127 라인 : file.transferTo(new File(EgovWebUtil.filePathBlackList(filePath)));
209 라인 : File file = new File(EgovWebUtil.filePathBlackList(downFileName));
231 라인 : fin = new BufferedInputStream(new FileInputStream(file));
입력 데이터 검증 및 표현 : 경로조작
외부 입력 값으로 파일명이 사용될 경우 경로추적(Directory Traversal) 공격이 시도될 수 있습니다.
경로추적이란 ./ 또는 ../와 같은 문자열을 사용하여 상대경로 참조 방식으로 Web Root 외에 다른 디렉터리의 중요파일(passwd, hosts, log 등
)에 접근하는 공격 방법입니다.
이런 내용을 받았습니다..
이것말고도 많은데..
A
안녕하세요.
표준프레임워크센터 입니다.
EgovWebUtil.filePathBlackList()에 보면
경로 조작 문제가 발생할수 있는
문자에 대한 처리를 하고 있습니다.
센터에서도 관련하여 KISA 검증등을 실시하였습니다.
관련하여 확인 부탁드립니다.
해당 부분에 대해 검증 및 패치 버전을 출시한 상태 입니다.
공통컴포넌트 3.7.3 최신 패치 버전은
다음 페이지에서 다운로드 받으실수 있습니다.
https://www.egovframe.go.kr/EgovEnvReleaseCom.jsp?menu=3&submenu=4&leftsub=2
감사합니다.
표준프레임워크센터 입니다.
EgovWebUtil.filePathBlackList()에 보면
경로 조작 문제가 발생할수 있는
문자에 대한 처리를 하고 있습니다.
센터에서도 관련하여 KISA 검증등을 실시하였습니다.
관련하여 확인 부탁드립니다.
해당 부분에 대해 검증 및 패치 버전을 출시한 상태 입니다.
공통컴포넌트 3.7.3 최신 패치 버전은
다음 페이지에서 다운로드 받으실수 있습니다.
https://www.egovframe.go.kr/EgovEnvReleaseCom.jsp?menu=3&submenu=4&leftsub=2
감사합니다.