개요

• CISCO社는 Apache Struts2 컴포넌트를 포함하는 제품군에 영향을 주는 취약점을 해결한 보안 업데이트를 발표[1]
• 공격자는 특수하게 조작한 OGNL(Object Graph Navigation Language) 표현식을 취약점에 영향 받는 시스템에 전송할 경우, 원격코드 실행 등을 유발시킬 수 있음

해당 시스템

• 영향을 받는 제품
  • Cisco Business 에디션 3000 시리즈
  • Cisco Identity Services Engine(ISE)
  • Cisco Media Experience Engine(MXE) 3500 시리즈
  • Cisco Unified Contact Center(CCE) 엔터프라이즈

해결 방안

• 취약점이 발생한 Cisco 소프트웨어가 설치된 Cisco 장비의 운영자는 해당되는 참고사이트에 명시되어 있는 ‘Affected Products’ 및 ‘Software Versions and Fixes’ 내용을 확인하여 패치 적용

용어 정리

• Apache Struts : 기업급 자바 웹 프로그램 구축을 위한 프레임 워크
• OGNL(Object Graph Navigation Language) : 특정 오브젝트에 대한 조작을 할 때 사용하는 언어

기타 문의사항

• 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

[참고사이트]
[1] http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140709-struts2