​[보안공지] 

※ 출처 : AhnLab / 국가사이버안전센터 / C-TAS

■ Node.js 제품 보안 업데이트 권고

​① 개요

- Open JS 재단은 Node.js에서 발생하는 취약점을 해결한 보안 업데이트 발표

- 영향받는 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고

② 설명

Node.js에서 CVE-2024-27980 취약점 우회하여 발생하는 임의 코드 실행 취약점[CVE-2024-36138]

* CVE-2024-27980 : Node.js 제품의 Windows에서 발생하는 Command Injection 취약점

③ 영향받는 제품 및 해결 방안

※ 첨부파일 참고

​■ 이스트시큐리티 제품 보안 업데이트 권고

​① 개요

- 이스트시큐리티社의 문서중앙화 제품에서 발생하는 취약점 발견

- 영향받는 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고

② 설명

- InternetDisk 및 SecureDisk에서 발생하는 로그인 인증 우회 취약점

③ 영향받는 제품 및 해결 방안

※ 첨부파일 참고

​[보안뉴스] 

※ 출처 : 보안뉴스

○ 30년 된 인증 프로토콜 레디어스에서 치명적인 설계 결함 발견돼

- 보안 외신 시큐리티위크에 의하면 레디어스[RADIUS]라는 오래된 프로토콜에서 무려 30년 된 오류가 발견됐다고 한다. 정식 관리 번호는 CVE-2024-3596이지만 보안 전문가들은 블래스트래디어스[BlastRADIUS]라는 명칭을 사용하고 있다. 이를 익스플로잇 하는 데 성공한 공격자는 로컬 네트워크에 아무 ID로나 인증해서 들어갈 수 있게 되며, 심지어 다중인증 장치도 뚫어낼 수 있게 된다. 따라서 레디어스를 기반으로 네트워크를 구성한 조직의 경우 불법 접근에 매우 취약해질 수 있다. 아직 실제 피해 사례는 나타나고 있지 않으나 한 번이라도 당하면 파급력이 어마어마할 수 있어 시급한 패치가 요구되고 있다

○ 中 불법 OTT 서비스서 개인정보 노출…한국인 신용카드·집주소도