나모 웹에디터 제품군 보안패치 적용 및 웹페이지 파일 업로드 보안 강화 권고[2023-05/1]

[KISA] 보안공지 참고

나모 웹에디터 제품군 보안패치 적용 및 웹페이지 파일 업로드 보안 강화 권고

o 지란지교소프트社는 자사 나모 웹에디터 제품군의 취약점 제거 및 보안성을 강화한 최신버전을 발표, 최신버전으로 업데이트 권고

o 웹페이지 구축 및 운영 시 파일 업로드 기능을 사용할 경우, 웹셸 등 악성파일 업로드 방지를 위한 보안설정 강화 권고

o CrossEditor에서 확장자 검증 미흡으로 인해 발생하는 실행 가능 파일 업로드 취약점 개선 o CrossUploader에서 악성파일 업로드 방지를 위해 보안설정 강화

o 이외의 제품 사용 중에도 파일 업로드 보안정책 설정이 취약한 경우 악성파일 업로드가 가능할 수 있어 보안설정 점검 및 보안 강화 필요

o CrossEditor 및 CrossUploader를 사용하는 기업 및 기관은 지란지교소프트社를 통해 최신버전으로 업데이트

o 웹페이지를 운영하는 기업 및 기관은 파일 업로드 기능 보안설정 강화

파일 업로드 정책의 기본 설정을 반드시 확인하고, exe, jsp, html 등 실행 파일 업로드 차단 기능을 반드시 설정
파일이 업로드되는 폴더의 경우, 실행되지 않도록 "실행" 속성은 제거하고 "읽기" 속성만 가능하도록 설정
주기적으로 보호나라를 통해 내서버 돌보미 서비스를 신청하여 서버 점검을 받거나, 웹쉘 탐지프로그램인 휘슬(WHISTLl)을 사용하여 서버 내 악성 파일이 존재하는지 여부 점검
신청방법 : 보호나라 > 정보보호서비스 > 기업서비스 > 서비스 신청하기 > 내서버 돌보미 혹은 중소기업 홈페이지 보안강화(휘슬) 신청