구글, 맥용 크롬 긴급 업데이트 발표··· "자바스크립트 엔진 취약점 수정"
스프링4셸 취약점, 전제 조건 많이 붙어 익스플로잇 까다로워
'패치 속도 느리다' 스프링4셸 취약점 탐지 및 완화 방법
spring4shell 취약점이 log4shell 취약점에 비해 업데이트 속도가 느린 것은 특정 상황과 조건이 맞아야 익스플로잇이 가능한 취약점이라고 여겨지기 때문
...
그 조건이란,
애플리케이션이 JDK 9 이상 버전에서 구축된 아파치 톰캣 서버에 설치되어야 한다는 것,
또한 스프링 WebMVC와 WebFlux 요소들을 통해 스프링 빈즈 패키지가 사용되어야 함
보안 업체 제이프로그(JFrog)도 독자적인 조사와 분석을 통해 비슷한 결론을 내렸9다. “자바 9 버전부터는 새로운 API가 도입됐고, 이 때문에 스프링의 보호 장치를 피해 임의의 값을 ClassLoader에 부여하는 게 가능해졌습니다. 이것이 문제의 근원이라고 생각합니다. 하지만 익스플로잇을 가능하게 하는 설정이 ‘디폴트 설정’이 아니기 때문에 취약한 스프링 버전을 사용했다고 하더라도 애플리케이션이 취약한 상태가 아닐 수 있습니다.”
-> 취약점 자체를 스캔+취약점 발동 조건에 대한 스캔도 병행하는 것이 안전함다른 사람의 개인정보 침해 사실 발견 시에도 신고할 수 있는 근거 마련
현재 개인정보를 침해받은 당사자만이 개인정보보호위원회에 그 침해 사실을 신고할 수 있다는 현행법 때문
-> 개인정보처리자가 개인정보 처리 시 누구든지 개인정보에 관한 권리 또는 이익을 침해받은 사람이 있다는 사실을 알게 된 경우 그 침해 사실을 신고할 수 있도록 하는 내용을 담고 있음4월 시행 예정의 일본 개인정보보호법 개정 내용과 시사점
주요 개정사항
- 개인정보취급사업자가 개인 데이터(개인정보데이터베이스 등을 구성하는 개인정보를 의미)를 외국에 있는 제3자에게 제공하는 데 있어서는 일정한 예외에 해당하는 경우를 제외하고 사전에 개인정보 주체로부터 '외국에 있는 제3자에 대한 개인 데이터의 제공을 인정하는 취지의 본인의 동의'를 얻을 필요가 있다(개정법 제28조).
- '개인관련정보' 개념의 신설 : 개인정보, 가명가공정보 및 익명가공정보의 어느 것에도 해당하지 않는 것으로 정의되고 있으며, 구체적으로는 개인정보와 결합되지 않은 인터넷 열람 이력 등의 행태정보, 위치정보, 쿠키 등이 이에 해당한다.
...