WAS 서버 개발자(Tomcat, Resin 등), Apache 개발자들, 그리고 몇몇 Security 전문가 외엔 %3f 문제를 정확하게 이해하는 사람이 없는데, 애석한 일이다.
아직도 많은 Vulnerability Assessment 도구들이 해당 문제를 특정 WAS의 버그라고 보고, 특정 WAS 버전일 때만 점검하는 식으로 작동하고, 많은 보안 전문가들 역시 동일하게 이해하고 있다.
다행히도 몇몇 프로젝트는 Document에서 해당 문제를 정확히 (그러나 아는 사람이 봤을 때만 '아~ 이 문장은 이 문제 이야기하는 거구나?'하고 이해할 수 있게) 기술하기 시작했다.
이 문제는 특정 WAS의 버그로 분류되는 것이 아니라, 사용자의 Configuration 실수로 분류되어야 한다.
따라서, 해당 제품의 종류, 버전과 상관이 없이 모든 WAS 환경에서 반드시 %3f 취약점은 점검된 후 넘어가야 한다.
(점검 시 http://github.com/opt9/SrcDisc를 이용하면 편하다.)
Tomcat 구버전은 문서대로 따라하면 반드시 해당 취약점이 발생하도록 Document가 되었으며, 인터넷에 올라와있는 다양한 설정 예제 역시 반드시 해당 취약점이 발생하도록 설정 예제를 보여주고 있다. Tomcat 개발자들은 이 문제를 인지하고 웹 사이트의 공식 매뉴얼 문서에서 해당 문제가 발생하지 않도록하는 설정 예제를 소개하고 있으며, 이 문제에 대해 설정할 때 주의하도록 설명하고 있으나 아쉽게도 이런 변화가 현실에 반영되려면 아직 많은 시간이 흘러야 할 것으로 보인다.
더불어 여전히 특정 WAS의 %3f 문제를 보고 WAS 서버 개발자에게 버그 리포트를 날리게 되면 '난 웹 서버나 WAS 서버의 동작 방식에 대해 전혀 이해하지 못하고 있다.'라고 이야기하는 것과 같다.
이글루스 가든 - professional secur...
덧글
감사합니다
hw 2010/06/02 10:06 # 삭제 답글
감사합니다