보안솔루션, 보안컨설팅의 최강자! 종합보안회사 시큐아이

취약점ID	27107
위험도	40
포트	139.445
프로토콜	TCP
분류	SMB
상세설명	Apache Struts 2.3.16.2 이전버전의 CookieInterceptor 에서 와일드카드 쿠키이름이 사용될 때 getClass 메소드 접근을 적절하게 제한하지 않아 원격 공격자는 ClassLoader를 다룰 수 있으며, 조작된 요청을 통하여 임의의 코드를 실행할 수 있다. * 알림: 이 점검항목은 점검하기 위한 호스트로 로그인 할 수 있는 관리자 권한을 가진 계정을 필요로 한다. 이러한 조건이 안되면 점검을 수행할 수 없으며 모든 취약한 호스트들에 대해서 거짓 음성반응(False Negative)을 보일 수 있다. * 참고 사이트: https://cwiki.apache.org/confluence/display/WW/S2-021 * 영향을 받는 플랫폼: Apache Struts 2.3.16.2 이전 버전 모든 운영체제 모든 버전
해결책	다음 Apache Struts 다운로드 웹 페이지에서 구할 수 있는 Apache Struts의 가장 최신 버전(2.3.16.2 이후)으로 업그레이드 하여야 한다: https://struts.apache.org/download.cgi
관련 URL	CVE-2014-0113 (CVE)
관련 URL	(SecurityFocus)
관련 URL	(ISS)