이미지파일 보안조치 이후 에러(2017.12.12일자)
- 작성자 :
- 조*권
- 작성일 :
- 2017-12-21 13:16:35
- 조회수 :
- 973
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
안녕하세요
이번 저희 프로젝트에서 전자정부프레임워크 취약점 관련하여 보안조치가 필요하다는 연락을 받고,
2017.12.12일자 EgovWebEditorImageController.java를 적용하였습니다.
정상적으로 이미지가 등록되고 표출될때에 암호화가 되는 부분이 정상적으로 되는 것을 확인하였습니다.
1. 에러 첨부파일 관련
- 저희가 이번에 보안조치를 적용하고 문제점이 하나 발생하였는데,
첨부파일과 같이 파일명을 다시 decrypt할 경우, 파일명이 깨지는 현상이 발생합니다.
항상 그러는 부분이라면 소스 상에 오류라고 판단할테지만, 동일한 파일을 몇번 시도하다보면 어떤때는 정상적으로 보여집니다.
즉, 일정 확률로 encrypt된 파일을 decrypt하면서 에러가 발생하는 듯 합니다.
확인이 가능한지 답변 부탁드립니다.
2. 해당 보안조치는 이미지 파일을 개발자 도구에서 확인할 경우, 파일명과, 파일 서브경로가 그대로 노출되는 부분이 있어서 된 것으로 알고 있습니다.
저희가 CKEditor를 적용해서 사용중인데, 에디터에서 또한 이미지 파일첨부가 가능합니다.
게시글의 상세 페이지에 가면 이미지를 볼 수 있는데, 해당부분도 조치가 필요할것으로 판단되어 암호화를 동일하게 적용하였습니다.
다만 CKEditor의 경우, java가 전자정부프레임워크에 속하지 않다보니 EgovCryptoService cryptoService를 @Resource로 생성할 경우, cryptoService가 null되는 현상이 있어서, ARIACipher를 직접 작성하여 클래스로 만들어서 사용중입니다.
혹시 Egovframe 컨트롤러에 해당하지 않는 클래스에 대해서는 지원하지 않게 하는게 맞는지, 아니면 보안조치가 급하여 일단 Egovframe 컨트롤러에서만 정상적으로 생성할 수 있도록 조치가 된 부분인지 확인 부탁드립니다.
이번 저희 프로젝트에서 전자정부프레임워크 취약점 관련하여 보안조치가 필요하다는 연락을 받고,
2017.12.12일자 EgovWebEditorImageController.java를 적용하였습니다.
정상적으로 이미지가 등록되고 표출될때에 암호화가 되는 부분이 정상적으로 되는 것을 확인하였습니다.
1. 에러 첨부파일 관련
- 저희가 이번에 보안조치를 적용하고 문제점이 하나 발생하였는데,
첨부파일과 같이 파일명을 다시 decrypt할 경우, 파일명이 깨지는 현상이 발생합니다.
항상 그러는 부분이라면 소스 상에 오류라고 판단할테지만, 동일한 파일을 몇번 시도하다보면 어떤때는 정상적으로 보여집니다.
즉, 일정 확률로 encrypt된 파일을 decrypt하면서 에러가 발생하는 듯 합니다.
확인이 가능한지 답변 부탁드립니다.
2. 해당 보안조치는 이미지 파일을 개발자 도구에서 확인할 경우, 파일명과, 파일 서브경로가 그대로 노출되는 부분이 있어서 된 것으로 알고 있습니다.
저희가 CKEditor를 적용해서 사용중인데, 에디터에서 또한 이미지 파일첨부가 가능합니다.
게시글의 상세 페이지에 가면 이미지를 볼 수 있는데, 해당부분도 조치가 필요할것으로 판단되어 암호화를 동일하게 적용하였습니다.
다만 CKEditor의 경우, java가 전자정부프레임워크에 속하지 않다보니 EgovCryptoService cryptoService를 @Resource로 생성할 경우, cryptoService가 null되는 현상이 있어서, ARIACipher를 직접 작성하여 클래스로 만들어서 사용중입니다.
혹시 Egovframe 컨트롤러에 해당하지 않는 클래스에 대해서는 지원하지 않게 하는게 맞는지, 아니면 보안조치가 급하여 일단 Egovframe 컨트롤러에서만 정상적으로 생성할 수 있도록 조치가 된 부분인지 확인 부탁드립니다.
A
안녕하십니까, 조기권님
표준프레임워크센터입니다.
1. 질문해주신 암복호화 관련해서 다운로드>공통컴포넌트>공통컴포넌트 보안강화 패치 Version 3.6.0을 다시 다운받아 controller만
넣어주시기 바랍니다. 관련 메소드가 주가 되었습니다.
2. 해당 패치는 CKEditor를 오픈 소스로 사용한 표준프레임워크 기반에서 보안강화된 파일입니다. 표준프레임워크에 해당되지 않는 커스터마이징 컨트롤러에서 사용하시려면 암복호화에 대한 커스터마이징이 필요합니다. 현재 ARIACipher를 사용 중이시며 해당 문제가 없다면 사용하지 않는 이미지 업로드에 대한 표준프레임워크 파일을 삭제하시기 바랍니다.
감사합니다.
표준프레임워크센터입니다.
1. 질문해주신 암복호화 관련해서 다운로드>공통컴포넌트>공통컴포넌트 보안강화 패치 Version 3.6.0을 다시 다운받아 controller만
넣어주시기 바랍니다. 관련 메소드가 주가 되었습니다.
2. 해당 패치는 CKEditor를 오픈 소스로 사용한 표준프레임워크 기반에서 보안강화된 파일입니다. 표준프레임워크에 해당되지 않는 커스터마이징 컨트롤러에서 사용하시려면 암복호화에 대한 커스터마이징이 필요합니다. 현재 ARIACipher를 사용 중이시며 해당 문제가 없다면 사용하지 않는 이미지 업로드에 대한 표준프레임워크 파일을 삭제하시기 바랍니다.
감사합니다.