Genian ZTNA Security Advisories

Last Updated: 2024-04-01

Security Vulnerability

Fixed Versions

Key

Components

Description

Affects Versions

CVSS Score

6.0.9

GN-25753

WebUI

CWP 에서 PAGEFW 파라미터를 통한 불법 경로로 리다이렉트 하지 않도록 개선

4.2

6.0.9

GN-25746

Center, Sensor

시큐어코딩 점검결과 취약점 패치

6.0.9

GN-25438

Center, Sensor

_filelist.html 파일을 센터마다 다르게 생성하도록 개선

3

6.0.8

GN-25561

WebUI

노드검색바 Blind SQL Injection 취약점

5.3

6.0.8

GN-25184

Sensor

DNS Cache Poisoning 공격방어를 위해서 Dnsmasq 에서 쿼리 결과를 캐쉬하지 않도록 수정

3.7

6.0.8

GN-23677

Center, Sensor

센서 정책서버 등록시 보안성 강화를 위한 관리자 승인 시스템

7.9

6.0.7

GN-25387

Database, WebUI

정책 > 클라우드 보안그룹 정책에 대한 관리역할 미적용 문제

3.5

6.0.7

GN-25309

Center, Sensor

CSAP(SaaS) 보안인증 심사 소스코드 취약점 조치 - C/C++

7.5

6.0.7

GN-25250

WebUI

HTML Tag 문자열 뒤에 /를 붙이는 경우 XSS가 가능한 문제

4.9

6.0.7

GN-25239

WebUI

Tomcat version upgrade (8.5.78 -> 9.0.65)

7.5

6.0.7

GN-25237

WebUI

CSAP(SaaS) 보안인증 심사 소스코드 취약점 조치

0

6.0.7

GN-25193

WebUI

[범용OS Ubuntu] 관리콘솔 > CWP Design Template 목록 페이지 'X-Frame-Options' Header 가 allowall로 표시되는 문제

6.5

6.0.7

GN-25119

macOS Agent

macOS Agent, OpenVPN(2.5.7) 및 OpenSSL(1.1.1q) 최신 버전으로 업그레이드

5.3

6.0.6

GN-25306

WebUI

사용하지 않는 HTTP-Method를 통해 사용가능 method 정보가 출력되는 문제

5.3

6.0.6

GN-25110

Linux Agent

Linux Agent, OpenVPN(2.5.7) 및 OpenSSL(1.1.1q) 최신 버전으로 업그레이드

5.3

6.0.5

GN-25104

Center, macOS Agent, Sensor, Windows Agent

OpenSSL 최신버전으로 업그레이드 (OpenSSL 1.1.1q)

5.3

6.0.5

GN-24782

WebUI

취약점 점검에 따른 라이브러리 업그레이드

9.8

6.0.4

GN-25064

WebUI

웹서비스 취약점 Apache WAS 정보를 노출하지 않도록 개선

4.0.119, 5.0.16

2.5

6.0.4

GN-24583

WebUI

WebUI에서 사용하는 java lib 중 취약점이 발견된 lib 업그레이드

9.8

6.0.4

GN-23947

Windows Agent

윈도우 에이전트 시큐어코딩 점검결과 취약점 패치

5.0.0, 6.0.0

6.0.3

GN-24917

Center, macOS Agent, Sensor, Windows Agent

OpenSSL 최신버전으로 업그레이드 (OpenSSL 1.1.1o)

9.8

6.0.3

GN-24908

WebUI

Tomcat version upgrade (8.5.78)

8.6

6.0.3

GN-24851

Center

Apache HTTP Server 2.4.53 업그레이드

9.8

6.0.28 (R-1)

GN-26452

WebUI

사용자의 변경불가 정보를 수정할 수 있는 취약점

5.0.0, 6.0.0

2.2

6.0.22

GN-26723

WebUI

관리자의 권한 변경시 즉시 반영 안되는 취약점 수정

3.3

6.0.21, 6.0.16

GN-28063

WebUI

노드관리 검색바에 Blind Injection 가능한 문제

2.2

6.0.20, 6.0.16

GN-27107

WebUI

권한 없는 관리자로 인한 Tomcat 재구동 명령 수행으로 서비스 무력화

5.0.41

2.7

6.0.2

GN-24689

WebUI

감사 > 로그 > 로그검색에서 XSS가 가능한 문제

4.3

6.0.2

GN-24687

WebUI

디버그로그 화면에서 상대경로로 파일 접근 가능한 문제

3.83

6.0.2

GN-24651

Center, macOS Agent, Windows Agent

OpenSSL 최신버전으로 업그레이드 (OpenSSL 1.1.1n)

4.0.0, 5.0.0, 6.0.0

7.5

6.0.2

GN-24535

WebUI

logstash 제거

5.9

6.0.18, 6.0.16

GN-26393

WebUI

접근 권한 없는 페이지에 직접 URL을 입력하여 정보 수정이 가능한 취약점

3.1

6.0.18, 6.0.16

GN-26390

WebUI

감사로그 REST API를 통한 권한 없는 관리자의 파일 내보내기 권한 우회 취약점

3.1

6.0.17, 6.0.16

GN-27492

WebUI

Tomcat Version Upgrade (8.5.94 -> 8.5.96 / 9.0.81 -> 9.0.83)

7.5

6.0.17, 6.0.16

GN-27278

WebUI

Tomcat Version Upgrade (8.5.94 / 9.0.81)

7.5

6.0.17, 6.0.16

GN-26315

WebUI

2단계 인증에서 인증코드 입력값 횟수제한, 시간제한하도록 개선

4.3

6.0.17

GN-26600

WebUI

비정상 api 호출 후 로그인 되지 않는 문제

5.0.42, 5.0.49, 6.0.7, 4.0.156, 5.0.56

5.3

6.0.16

GN-27014

WebUI

권한이 없는 상태에서 Passkey 재등록 기능을 이용해서 Passkey를 등록할 수 있는 문제

3.9

6.0.16

GN-26935

WebUI

부서명으로 출력된 html tag가 tree에서 실행되는 취약점

5.0.0

1.2

6.0.16

GN-26835

Center

데이터 업데이트에 사용되는 SQL을 통한 Command Injection 취약점

6.6

6.0.16

GN-26833

Sensor

센서의 NMDB 업데이트 과정에서 nmap 스크립트 변조 취약점

4.1

6.0.16

GN-26696

Sensor

센서의 수신 이벤트에 대한 검증 미흡

6.3

6.0.16

GN-26694

Center

다운로드 URL 검증 미흡으로 인한 Parameter Injection 취약점

6.6

6.0.16

GN-26383

WebUI

html/script 코드 주입 가능한 취약점

5.3

6.0.15

GN-26814

Center

Bufferoverflow 에 대한 코드 개선

2

6.0.15

GN-26725

Linux Agent, macOS Agent, Windows Agent

[Agent] 센터 및 센서에서 전송된 이벤트에 대한 유효성 검사 추가

6.3

6.0.15

GN-26392

WebUI

권한 없는 관리자가 디버그 로그 다운로드 가능한 취약점

2.9

6.0.15

GN-26368

WebUI

관리자의 API 키가 다른 관리자에게 노출되는 취약점

5.3

6.0.15

GN-26222

WebUI

관리콘솔 내 페이지 이동시 사용하는 returnUrl 파라미터를 변조하여 리다이렉트 할 수 있는 문제

1.9

6.0.14

GN-26460

Windows Agent

에이전트를 통해 일반 사용자가 PC 관리자 권한을 획득할 수 있는 취약점

5.0.0, 6.0.0

4.6

6.0.14

GN-26391

WebUI

권한 없는 관리자가 디버그로그 실시간 보기 가능한 취약점

5.0.0, 6.0.0

2.9

6.0.13

GN-26286

WebUI

Google OTP 2단계 인증에서 보안키를 신규로 발급받아 2단계 인증을 통과할 수 있는 문제

6.5

6.0.12

GN-26205

Database

mysql 버전 업그레이드 5.7.40 -> 5.7.41

6.0.12

GN-26150

WebUI

Tomcat version upgrade (9.0.68 -> 9.0.72, 8.5.78 -> 8.5.86)

6.0.12

GN-26062

Center, macOS Agent, Sensor, Windows Agent

OpenSSL 1.1.1t 업그레이드 - 임의 포인터를 memcmp 호출에 전달하여 메모리 내용을 읽거나 서비스 거부를 유발할 수 있음

7.4

6.0.12

GN-26000

MySQL

mysql 버전 업그레이드 5.7.33 -> 5.7.40

6.0.12

GN-25869

CWP

IP관리 메시지 우선 On 일때 에이전트 사용자 인증 메뉴로 CWP 인증 시 계정(ID)으로만 인증 되는 문제

6.0.3, 5.0.46

3.4

6.0.11

GN-25982

WebUI

WebUI Response Header에 CSP, HSTS Header 추가

6.0.11

GN-25875

Windows Agent

에이전트가 웹브라우저 실행할 때 High권한 가지는 문제

4.0.0, 5.0.0, 6.0.0

3.3

6.0.11

GN-25849

WebUI

WebUI lib 취약점 항목 점검

6.0.11

GN-25811

IPMGMT

IP 신청시스템에서 frontpage를 통해 사용자ID 만으로 로그인 가능한 문제

4.9

6.0.10

GN-25925

IPMGMT, WebUI

IP 신청시스템 > IP신청 화면 XSS 가능한 문제

5.4

6.0.10

GN-25847

WebUI

CWP 화면에서 사용자 정보 수정 페이지 접근시 재인증 절차 추가

4.2

6.0.10

GN-25740

WebUI

감사 > 로그 > 로그검색바에서 XSS가 가능한 문제

5.6

6.0.1

GN-24305

GNOS

Apache 취약점 조치를 위한 2.4.52 버전 업그레이드

9.8

6.0.1

GN-24253

WebUI

log4j 취약점 개선

9.8

6.0.1

GN-23714

Center

인증처리가 미비한 에이전트관련 API 보완

4.6

6.0.1

GN-23461

WebUI

[SaaS] Saas 보안인증 소스코드 점검결과 조치

9.1

6.0.1

GN-23446

gnlogin, WebUI

비밀번호에 특정단어를 사용할 수 없도록 처리

8.7

6.0.0

GN-24030

GNOS

제품에 포함된 netcat(nc) 명령에서 reverse shell 기능 제거

6.0.0

GN-24014

Center

HTTP로 호출가능한 SOAP/REST 제한

2.5

6.0.0

GN-23981

macOS Agent, Windows Agent

에이전트에 UDP 이벤트의 패킷 조작을 통한 비정상 종료 문제

3.4

6.0.0

GN-23977

macOS Agent, Windows Agent

에이전트에서 인스턴트 메시지 표시할 때 존재하는 XSS 취약점 수정

6.8

6.0.0

GN-23972

Center, Sensor

UDP event 패킷처리시 데몬 비정상 종료 가능한 문제

5.0.36

6.4

6.0.0

GN-23970

WebUI

모바일 앱을 이용한 관리자 로그인 우회 취약점

6.1

6.0.0

GN-23967

WebUI

REST API Command Injection

6.7

6.0.0

GN-23966

WebUI

CWP 사용자 신청시 Excel 파일로 신청되는 경우 XSS 공격 가능 취약점

6.8

6.0.0

GN-23965

WebUI

Agent Download 페이지에서 상대경로를 통한 내부 파일 다운로드 취약점

5.0.37

5.2

6.0.0

GN-23794

WebUI

REST API 호출시 유효한 인증 토근이 존재하지 않아도 호출 가능한 문제

4.9

6.0.0

GN-23743

Center

API를 통한 서비스 거부 공격(DoS, Denial of Service) 취약점 개선

6.4

6.0.0

GN-23708

Center

인증처리가 미비한 센서관련 API 보완

4.6

6.0.0

GN-23706

Center

내부적으로 사용되는 SOAP API가 RPC를 통해 외부로 노출된 취약점

6.0.0

GN-23705

WebUI

(KVE-2021-1062) Conf Engine 에서 파일 업로드 컴포넌트의 이름 유효성 체크 강화

6.7

6.0.0

GN-23702

WebUI

(KVE-2021-1062) CWP Design Template에서 SSTI 취약점

6.0.0

GN-23701

Windows Agent

(KVE-2021-1062) Agent 파일 생성시 상대경로를 사용할 수 있는 취약점

6.1

6.0.0

GN-23700

Center

(KVE-2021-1061) 노드에 인증된 사용자가 아님에도 비밀번호를 변경할 수 있는 취약점

8.7

6.0.0

GN-23699

Center, Sensor

(KVE-2021-1061) 센서정보 없이 모든 노드의 정보를 얻을 수 있는 취약점

6.0.0

GN-23663

macOS Agent, Windows Agent

에이전트 OpenSSL 1.1.1l 업데이트

9.8

6.0.0

GN-23662

GNOS

openssl 버전 1.1.1l 로 업그레이드

4.0.146, 5.0.44, 6.0.1

9.8

6.0.0

GN-23563

Center

Command injection 공격 방어를 위한 수정

8

6.0.0

GN-23533

Center

사용불가 플러그인이 에이전트로 전달되지 않도록 개선

7.6

6.0.0

GN-23500

Center

SQL Injection 방어 처리방법 개선

8.7

6.0.0

GN-23499

GNOS

GNOS 내부 취약한 LD_LIBRARY_PATH 환경변수 제거

6.0.0

GN-23488

WebUI

[SaaS] SaaS 보안인증 WAS(Tomcat) 취약점 개선

7.5

6.0.0

GN-23377

GNOS

openssh 버전 8.6p1 으로 업그레이드

6.0.0

GN-23358

WebUI

[CC] Web 취약성 점검결과 보안

6.5

6.0.0

GN-23237

GenianOS

Apache httpd(2.4.48) / tomcat(8.5.63) 업그레이드

7.5

6.0.0

GN-23233

ElasticSearch

[CC] elasticsearch 5.6.16 버전으로 업그레이드

8.8