0xNews - MS Azure 사용자의 RCE 취약점 패치 권고
0xNews - MS Azure 사용자의 RCE 취약점 패치 권고
MS Azure 보안 업데이트 발표
MS 애저 Azure 사용자에게 .NET Core 에 영향을 주는 중요한 원격 코드 실행 RCE Remote Code Execution 취약점 발견
이를 보호하기 위해 빨리 PowerShell 업데이트할 것을 권고
CVE-2021-26701 지정
CVSS 8.1
PowerShell v.7.0 / v.7.1 에 영향을 미침
MS 는 v.7.0.6 / v.7.1.3 으로 업데이트할 것을 권고
PowerShell v.5.1 은 취약점에 영향을 받지 않음
PowerShell 은 .NET CLR Common Language Runtime 기반으로 구축
명령줄 쉘, 스크립팅 언어와 구성 관리 프레임워크로 구성된 플랫폼 간 작업 자동화 유틸리티
MS 는 2021년 4월 해당 문제 파악
텍스트 인코딩이 수행되는 방식으로 인해 .NET 5 와 .NET Core 에서 RCE 취약점 존재
System.Text.Encodings.Web 에 문제가 있음을 확인
해당 패키지는 JavaScript, HTML, URL 에서 사용할 문자열을 인코딩하고 이스케이프하기 위한 유형을 제공
System.Text.Encodings.Web 패키지에 대한 MS 제공 Document 사이트 링크
https://docs.microsoft.com/en-us/dotnet/api/system.text.encodings.web?view=net-5.0
System.Text.Encodings.Web v.4.0.0 - 4.5.0 -> 패치 v.4.5.1
System.Text.Encodings.Web v.4.6.0 - 4.7.1 -> 패치 v.4.7.2
System.Text.Encodings.Web v.5.0.0 -> 패치 v.5.0.1
2021년 2월 정기 업데이트로 해당 취약점 CVE-2021-26701 패치 제공
해당 문제점은 패치 업데이트 외 대응 방안이 없기에 필수 업데이트를 권고
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.