헐랭이와 IT보안 (opt9's IT Security)

덧글

• xeraph 2008/06/08 02:20 # 답글

  릴리즈 기록을 보니 올해는 FTP 클라이언트 취약점만 줄창 팠나보네요 (..)

• ww0jeff 2008/06/08 04:20 # 삭제 답글

  directory traversal 에 대한 취약점은 언제 없어질까요. 정말 궁금합니다.--;
  5/22 부터 통보를 받았으니 대응하기에 기간이 좀 짧아보이기도 합니다만..
  그동안 몇차례 경험이 있었을텐데 좀 그렇군요. (혹시 스팸메일로 필터링?)
  
  그나저나 알* 계열의 프로그램들 동일한 취약점이 일부 더 있지 않을까요?

• shaind 2008/06/08 09:14 # 답글

  어차피 알 시리즈 안 쓴지 오래되었기 때문에...

• shasha 2008/06/25 09:46 # 삭제 답글

  안녕하세요
  이스트소프트 알툴즈사업본부 알FTP 담당자입니다.
  
  위에 내용에 대해 설명드립니다.
  우선 결론 부터 말씀드리면, 알FTP 국문판은 위의 문제가 패치되어 어제(6/24) 출시가 되었습니다.
  
  영문버전의 경우 번역작업, UI변경작업, 검수작업 등으로
  7월중으로 패치하여 출시할 계획입니다.
  
  또한 위에 말씀하신 '무응답'에 관해 말씀드립니다.
  해외 마케팅 담당 직원의 변경이 있었는데 그때 메일 포워딩이 제때 이루어 지지 않은 것 같습니다.
  결과적으로 '무응답'한 모양새가 되고 말았습니다.
  그 점은 알툴즈를 아껴주는 고객분들께 진심으로 죄송하다는 말씀을 드립니다. (--)(__)(--)
  
  참고로, 알려 드릴 말씀은 위의 문제는 알FTP 뿐 만 아니라 윈도우 FTP 클라이언트를 포함한
  많은 종류의 FTP 클라이언트가 가지고 있는 취약점입니다.
  
  관련하여 아래에 KISA에서 보내준 메일 내용 중 일부를 발췌했습니다.
  
  --------------------------------------------------------------------
  
  안녕하세요.
  한국정보보호진흥원 ******입니다.
  
  저희도 해당 취약점에 대한 분석을 하였는데
  ALFTP만 가지고 있는 취약점이 아니라
  윈도우 FTP 클라이언트[3]를 포함한
  많은 종류의 FTP 클라이언트가 가지고 있는 취약점이었습니다.
  
  이미 확인해 보셨겠지만
  [4]에 제공된 PoC를 수정하여 재현한 결과
  [2]에서 공개한 디렉토리 복사의 경우 뿐만아니라
  파일 복사의 경우에도 문제가 발생함을 확인하였습니다.
  
  보내주신 답변에 기술된 향후 조치(패치)를 언제까지 하실 계획인지
  대략적인 일정을 알려주시면 고맙겠습니다.
  
  - 참조사이트 -
  [1] http://www.frsirt.com/english/advisories/2008/1763
  [2] http://vuln.sg/alftp41b2-en.html
  [3] http://www.microsoft.com/technet/security/Bulletin/MS05-044.mspx
  [4] http://blog.hispasec.com/lab/advisories/adv_TotalCommander_7_01_Remote_Traversal.txt
  
  --------------------------------------------------------------------
  
  따라서, 저희 제품을 사용하지 않으시더라도 FTP프로그램 사용시 한 번 확인해 보시는 것이
  좋겠습니다.
  
  다시 한 번 본의 아니게 늑장대응이 된 점 정중히 사과드리면서 이만 줄입니다.
  
  감사합니다.
  
  

• 헐랭이 2008/06/30 11:30 # 답글

  수고 많으셨습니다. *^^*