지난 주말, ASP.NET 취약점과 관련해 마이크로소프트 보안 권고 2416728이 발표됐습니다.

아르헨티나에서 열린 Ekoparty 컨퍼런스에서 두 분의 보안 연구원들이 이 취약점을 발표했습니다. 이로 인해 보통 공식 문서를 내기에 적당치 않다고 여겨지는 미국 시간 금요일에 급히 권고를 냈습니다.

취약점에 해당되는 닷넷 프레임워크 버전도 1.1부터 4.0까지 다양하고 현재 지원되는 모든 윈도우 운영 체제는 모두 이 취약점에 노출됩니다. 윈도우 XP, 윈도우 비스타, 윈도우 7, 그리고 서버 운영체제인 윈도우 서버 2003과 2008이 해당됩니다. 악성 코드 전파나 임의의 악의적 행동을 취할 수 있는 원격 코드 실행 취약점은 아니고 정보가 노출되는 취약점입니다. 서버에서 암호화한 데이터를 공격자가 임의로 읽을 가능성이 있습니다. View State 데이터를 공격자가 해독할 수 있게 되면 공격자가 취할 수 있는 행동 범위가 다양하기 때문에 정보 유출 취약점이지만 파급력이 높을 것으로 예상합니다.

마이크로소프트는 현재 보안 패치를 개발 중이며 테스트를 마치면 배포할 예정입니다. 아직 일정은 정해지지 않았습니다. 그 전까지는 보안 권고에 나와 있는 대안(Workaround)을 적용해 주시기 바랍니다.

ASP.NET의 이번 취약점에 대한 기술적 설명은 SRD 블로그를 참고하세요. 보안 권고 문서나 블로그를 읽다 보면 소문자로 적은 oracle이란 단어가 등장하는데 오라클 제품에 대한 얘기가 아니고 cryptography에서 사용하는 용어라고 하네요.