가장 위험한 소프트웨어 보안 문제는 무엇일까? 25개를 꼽았더니

요약	- 해마다 수많은 SW 문제가 발생하며, 일부는 공격자들이 악용 - MITRE는 매년 ‘가장 위험한 취약점 25개’ 공개
내용	- MITRE는 매년 ‘가장 위험한 취약점 25개’ 공개 > CWE 형식으로 문제를 열거 ※ CVE : 실제 익스플로잇 공격의 통로가 될 수 있는 특정 취약점에 부여된 번호 ※ CWE : 그러한 취약점을 유발시킬 수 있는, 보다 보편적이고 넓은 개념의 소프트웨어 보안 약점 1위 - CWE-79 (XSS 공격을 가능하게 하는 취약점들이 포함) - CISA의 KEV에는 이 항목에 해당하는 CVE 3건 포함 2위 - CWE-787 (아웃 오브 바운드 라이트(out-of-bounds write)’ 취약점) - KEV에는 18건의 CVE가 포함 3위 - CWE-89 (SQL 요소를 주입할 수 있게 해 주는 취약점) - KEV에는 4건의 CVE가 포함 4위  - CWE-352 (CSRF 공격을 가능하게 하는 취약점) - KEV에는 CVE 존재하지 않음 5위 - CWE-22 (경로 탐색과 관련된 취약점) - KEV에는 4건의 CVE가 포함 6위 - CWE-125 (아웃오브바운드 리드(out-of-bounds read) 취약점) - KEV에는 3건의 CVE가 포함 7위 - CWE-78 (OS 명령을 주입할 수 있게 해 주는 취약점) - KEV에는 5건의 CVE가 포함 8위 - CWE-416 (UaF(Use-after-Free) 취약점) - KEV에는 5건의 CVE가 포함 9위 - CWE-862 (권한 인증을 누락시키는 취약점) - KEV에는 CVE 존재하지 않음 10위 - CWE-434 (파일 업로드를 제한하지 못하거나 안 하는 취약점) - KEV에는 CVE 존재하지 않음 11위 - CWE-94 (코드가 생성되는 걸 적절히 제어하지 못해서 생기는 문제들로 코드 주입 취약점) - KEV에는 7건의 CVE가 포함 12위 - CWE-20 (사용자가 입력한 값의 적절성을 제대로 검증하지 않는 취약점) - KEV에는 1건의 CVE가 포함 13위 - CWE-77 (명령 주입 취약점) - KEV에는 4건의 CVE가 포함 14위 - CWE-287 (인증을 부적절하게 처리하는 문제) - KEV에는 4건의 CVE가 포함 15위 - CWE-269 (권한 관리와 관련된 문제) - KEV에는 CVE 존재하지 않음 16위 - CWE-502 (데이터 역직렬화의 신뢰와 관련된 문제) - KEV에는 5건의 CVE가 포함 17위 - CWE-200 (민감한 정보를 인증 과정 없이 노출시키는 취약점) - KEV에는 CVE 존재하지 않음 18위 - CWE-863 (권한 인증을 부적절하게 처리하는 취약점) - KEV에는 2건의 CVE가 포함 19위  - CWE-918 (서버 측 요청 위조(SSRF) 공격을 가능하게 하는 취약점) - KEV에는 2건의 CVE가 포함 20위 - CWE-119 (매모리 버퍼 바운드 내에서 작업 제한에 실패할 때 나타나는 취약점) - KEV에는 2건의 CVE가 포함 21위 - CWE-476 (널 포인터 역참조 문제) - KEV에는 CVE 존재하지 않음 22위 - CWE-798 (하드코딩 된 크리덴셜 문제들) - KEV에는 2건의 CVE가 포함 23위 - CWE-190 (정수 오버플로우가 발생했을 때 나타나는 취약점) - KEV에는 3건의 CVE가 포함 24위 - CWE-400 (자원 소비를 제대로 제어하지 못해서 발생하는 문제) - KEV에는 CVE 존재하지 않음 25위 - CWE-306 (인증을 누락시키는 것과 관련된 문제) - KEV에는 5건의 CVE가 포함
기타	-

 

보안뉴스

가장 위험한 소프트웨어 보안 문제는 무엇일까? 25개를 꼽았더니