반작가 블로그

□ 개요 o JavaScript의 JSONata 라이브러리 취약점을 해결한 보안 업데이트 발표 [1] o 영향받는 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고 * JSONata 라이브러리 : JSON 데이터에 대한 경량 쿼리 및 변환 언어를 지원하는 라이브러리 □ 설명 o JSONata 라이브러리에서 발생하는 서비스 거부 및 원격 코드 실행 취약점(CVE-2024-27307) [1] □ 영향받는 제품 및 해결 방안 취약점 제품명 영향받는 버전 해결 버전 CVE-2024-27307 JSONata 1.4.0 ~ 1.8.7 이전 1.8.7 이상 2.0.0 ~ 2.0.4 이전 2.0.4 이상 ※ 하단의 참고사이트를 확인하여 업데이트 수행 [1] [2] [3] □ 기타 문의사항..

예전에 Oracle과 MSSQL DB 의 호환 JDBC를 알아보고 지속적으로 업데이트하고 있다. https://half.tistory.com/20 [DB] Oracle JDBC 호환되는 버전 확인하기 나의 서비스와 DB를 연결할때 ojdbc를 활용해서 연동하는 경우가 잦은데 이때 ojdbc에 붙은 숫자에 따라, 내가 사용하는 JDK의 버전에 따라 호환이 되고 안되고를 알 수 있다. 만약 호환되는 버전이 half.tistory.com https://half.tistory.com/21 [DB] MSSQL JDBC 호환되는 버전 확인하기 Oracle에 이어 Oracle만큼이나 많이 사용하는 MSSQL에 대한 정보를 확인해보자. Oracle의 경우 아래의 링크를 통해 확인이 가능하다. https://half.t..

최근 많은 나라에서 관심을 보이고 있는 중앙은행 디지털화폐(CBDC, Central Bank Digital Currency)는 기존의 실물 화폐와 달리 가치가 전자적으로 저장되며 이용자간 자금이체 기능을 통해 지급결제가 이루어지는 화폐를 말한다. =>국가가 발행하는 전자화폐 중앙은행이 발행하는 법정통화로서 가상화폐와 달리 기존의 화폐와 동일한 교환비율이 적용되어 가치변동의 위험이 없다. 이런 디지털화폐가 발행되면 사용자들은 현금을 들고 다닐 필요가 없는 편의는 증진될 것이나 실제 화폐로써의 가치를 인정받게 되므로 새로운 금리체계나 은행권의 자금융통방안이 바뀌지 않을까 싶다. 또한 현재 한국에서 발행을 추진하는 과정에서도 기술적, 법률적으로 해결해야 할 문제점들이 적지 않을것으로 보인다. 한국은행,금융위원..

제로 트러스트는 뭘까? 요즘 모든 기업/기관 마다 제로 트러스트를 이야기 하고 있다. 제로 트러스트란 모든 상호작용이 신뢰할 수 없는 상태에서 시작된다는 전제로 가정하는 보안 모델이다. 기존의 네트워크 보안 접근 방식이 내부 네트워크를 신뢰하고 외부 네트워크를 의심하는 방식이었다면, 제로 트러스트는 내부와 외부 모두를 의심하는 것입니다. (기존의 방식은 내부 네트워크에 속한 자원에 대해 신뢰를 가지고, 외부 네트워크에서 오는 요청을 더 신중하게 취급하는 방식이였습니다, 내부망내에서는 보안 검증의 레벨이 없다던지, 낮다던지..) 하지만 제로 트러스트는 사용자, 장치, 및 네트워크 리소스에 대한 접근을 최소한의 권한으로 제한하고, 이들이 실제로 권한이 있는지를 계속적으로 확인하는 보안 접근 방식입니다. 따라..

오래된 자바 프로젝트를 Import할 경우 sun.misc.BASE64Encoder 나 sun.misc.BASE64Decoder; 관련 에러가 발생한다. 실제 사용가능하나 관련 해결 방법으로는 설정된 프로젝트의 jre 설정을 변경해주며 된다. 해당 오류가 발생하는 프로젝트 우클릭 > 'Build Path' > 'Configure Build Path'를 선택 선택 후 Java Build Path 부분에서 Libraries 탭 선택, JRE System Library가 기본 jre일 경우 Edit 버튼을 눌러 설치되있는 jre 버전으로 변경하여 설정해 준다. 변경 후 정상적으로 빌드가 가능하다.

Chmod는 세팅시 자주 쓰이는데 막상 또 그시기가 지나면 잘 안쓰이게 되서 쓸때마다 찾아보게 되는것 같다. 너무 귀찮고... 그냥 내 블로그에 하나 써둬야 겠다.. chmod는 파일이나 디렉토리의 권한을 변경할때 쓰는 명령어다. 초기 세팅시 한 서버에 여러 솔루션이 있을경우 솔루션마다 그룹/계정을 나누어 사용하는데 혹시 계정은 만들어졌는데 파일/디렉토리의 권한은 한계정으로 통일되어 있을 수 있다. 이럴때는 chown을 써서 계정을 나누어 두면 좋다. 그럼 계정 변경 -> 권한 변경순으로 작업을 하게되는 것이다. 1. 사용 방법 # chown '[사용자] 혹은 [사용자:그룹]' '[파일명]' > 만약 내 계정이 tistory 그룹에 있는 half 라는 사용자고 file.txt라는 파일의 권한을 half에..

톰캣의 고스트캣 관련 취약점은 이전에 발견된 취약점이지만 몇몇 구버전의 톰캣을 사용하는 사람들은 해당 취약점을 모르고 지나칠 수 있다. 해당 취약점은 AJP Protocol을 이용하여 서버 내부의 파일 확인이나 원격 코드를 통한 공격이 가능해 취약 대상 버전의 톰캣 사용자는 조치를 해주는게 좋다. 취약 대상 버전은 아래와 같다. Tomcat 6.x 모든 버전 Tomcat 7.0.1 미만 버전 Tomcat 8.5.51 미만 버전 Tomcat 9.0.31 미만 버전 그럼 해당 조치는 어떻게 진행할까? 크게 3가지로 진행가능하고, 제일 간단한건 1. '최신 버전으로 설치' 최신 버전으로 설치하면 보안취약점에 대한 부분이 조치된 패치버전으로 릴리즈 되므로 최신 버전으로 받는게 가장 편하다. 하지만, 그렇지 못한..

오늘 윈도우 로그인을 하는데 배경화면이 너무 마음에 드는데 어떻게 찾는지 모르겠다면 아래의 방법으로 사진을 구할 수 있으므로 잘 따라해보자. 내가 오늘 본 잠금화면이 뭐였지? 하고 다시 보고 싶다면 바탕화면에서 마우스 우클릭 -> 개인설정 -> 잠금화면 탭으로 가면 확인 가능하다. 저기 무지개걸려있는 사진이 오늘 나의 잠금화면이였다. 저 사진을 받아보려고 한다. 윈도우는 사용자의 컴퓨터에 저런 배경 사진들을 저장해두는데 일반적인 경로가 아니라 사용자들은 쉽게 찾기 어렵다. 아래의 경로를 탐색기를 열어 입력하고 해당 경로로 이동한다. 1. 탐색기를 열어 아래의 경로 입력 %UserProfile%\AppData\Local\Packages\Microsoft.Windows.ContentDeliveryManage..

가끔 웹 관련 업무를 보다면 .har 와 .saz를 요청하게되는 요청받게되는 경우가 있다. 그럴때 어? .haz가 뭐임 .saz가 뭐임 이라고 당황할 수 있지만 당황하지 말고 이 글을 읽어보자. .haz는 HTTP Archive format으로 일종의 내가 웹브라우저에 일어난 세션에 대한 아카이브를 따는거다. 그럼 내 PC에서 일어난 웹 세션이지만 아카이브를 생성하게되면 다른 사람PC에서는 그 현상에 대한 내용을 볼 수 있기 때문이다. 그럼 .haz는 어떻게 생성할까? 1. 인터넷 브라우저 (크롬 기준으로 진행하겠다.) 의 개발자 도구를 실행하고 네트워크 탭으로 이동한다. 2. 인기 블로그 반작가의 블로그를 따왔다. 여기서 빨간 테두리 부분을 아카이브하여 저장한 파일이 .haz 되겠다. 이건 타 브라우저..

웹로직(WebLogic) 10.3.6 버전 170718 패치 이후 CR과 LF가 포함되는 경우 발생하는 에러이다. 포함된다는건 response.sendRedirect 을 사용할때를 뜻한다. 이때 CR LF가 포함되어 있다면 에러를 Return해주는거다. WebLogic에서 responseString을 통해 개행문자가 포함되는 경우 거부되도록 보안 취약점을 조치한 버그 픽스버전을 내놓았으며 해당 패치가 적용되었을때 responseString에 CR LF가 포함되었을때 나타나는 에러다. 그럼 CR LF를 안써야 한다는건데 CR LF가 무엇인지를 알아보자. CR / LF란 줄바꿈을 할때 쓰는 아스키 코드이다. 다양한 아스키코드는 아래 링크 참조. half.tistory.com/5?category=1182010..