일일 보안이슈
워드프레스 테마 Multimedia1 웹쉘 업로드 취약점
취약점 점검을 위해선 google dork 를 이용. 구글 검색창에 inurl:www.mywordpresssite.com/wp-content/themes/multimedia1/ 을 검색해서 검색이 된다면 취약한 상태로 볼 수 있어. 테마 이름은 아직 확인 못함.
POC
IoT 꼭 필요하나?
모든 기기가 IoT 화 된다는게 반드시 좋은것만은 아니다. 독일 Miele 사의 살균기 Miele Professional PG 8528 가 좋은 예. CVE-2017-7240 는 미인증 사용자가 원격에서 directory traversal 이 가능하게 한다. 이로인해 서버에 저장된 민감한 정보가 유출되거나 웹서버가 실행하게 할 악성코드를 삽입할 수도 있게 된다.
국내 통신사 라우터, 유명 NAS 장비에 보안취약점 다수
API 결함으로 인해 개인키를 포함한 시만텍인증서 노출 가능
시만텟 파트너사가 사용하는 API 에서 발견된 취약점으로 인해 공격자가 개인키가 포함된 인증서를 가져올 수 있다고, 보안연구원 Chris Byrne 이 자신의 페이스북 패이지에 밝혔다. Chris Byrne 은 2년 전인 2015년에 이 문제를 찾았고, 시만텍은 문제 해결을 위해 적어도 2년은 걸릴것이라 말해 이 시간동안 취약점에 대한 제한적 비공개원칙에 동의했습니다. 하지만 2년이 지난 지금, 시만텍은 발생이슈 전부를 해결하진 못해.
기사원문
시만텍의 CA 고객을 안심시키기 위한 노력
구글이 시만텍을 그들의 인증서를 크롬에서 신뢰하지 않는 방식으로 punish 한다는 방침을 발표한 이후, 시만텍이 그들의 고객에 대해 상황이 그리 나쁘지 않단 사실을 알리기위한 노력중.
기사원문
