공개용 Findbugs에서 검출된 취약점에 대한 문의
- 작성자 :
- 김**철
- 작성일 :
- 2016-10-31 11:18:22
- 조회수 :
- 3,065
- 구분 :
- 개발환경
- 진행상태 :
- 완료
Q
전자정부프레임워크의 공통 Component 부분에서 공개용 진단도구인 Findbugs를 통해 진단한 결과, 경로조작과 command injection 등 보안약점(행자부 47개 기준)이 검출되었는데, 현재 배포하고 있는 전자정부프레임워크에 취약점이 있는 것으로 첨부물과 같이 나타났음. Findbugs의 진단결과가 잘못된 것인지, 아니면 전자정부프레임워크를 수정해야 한다면 어떻게 해야 하는지 확인 부탁드립니다. 감사합니다.
A
김 영철님 안녕하세요.
표준프레임워크센터입니다.
공통컴포넌트 allinone 프로젝트를 이용해 테스트한 결과
문의하신 표준프레임워크로 인해 발생한 오류로 추정되는 'potential path traversal (file read)'는 점검되지 않았습니다.
문의하신 상황과 동일한 환경이 아니라면 명확한 진단조치를 제시하기는 어려울 것 같습니다.
(find bug 3.0.1 버전을 이용한 기본 조건에서의 진단 테스트)
해당 오류는
파일을 접근할 경우 파일이름(경로포함)에 대한 변조로 인해
의도하지 않은 파일 접근이 가능한 취약점을 점검한 항목입니다.
관련된 내용은 아래 페이지를 참고바랍니다.
https://find-sec-bugs.github.io/bugs.htm#PATH_TRAVERSAL_IN
감사합니다.
표준프레임워크센터입니다.
공통컴포넌트 allinone 프로젝트를 이용해 테스트한 결과
문의하신 표준프레임워크로 인해 발생한 오류로 추정되는 'potential path traversal (file read)'는 점검되지 않았습니다.
문의하신 상황과 동일한 환경이 아니라면 명확한 진단조치를 제시하기는 어려울 것 같습니다.
(find bug 3.0.1 버전을 이용한 기본 조건에서의 진단 테스트)
해당 오류는
파일을 접근할 경우 파일이름(경로포함)에 대한 변조로 인해
의도하지 않은 파일 접근이 가능한 취약점을 점검한 항목입니다.
관련된 내용은 아래 페이지를 참고바랍니다.
https://find-sec-bugs.github.io/bugs.htm#PATH_TRAVERSAL_IN
감사합니다.