분류 전체보기114 Redis 취약점이 발견되다. CVE-2025-49844 (RediShell) 정리 — 영향·탐지·즉시 대응 가이드 CVE-2025-49844 (RediShell) Lua use-after-free → RCE (fix: Redis 8.2.2) Patch now Disable EVAL/EVALSHA if you can't patch CVE-2025-49844 (RediShell) 한눈에 정리 — 영향·탐지·대응 핵심 요약: CVE-2025-49844는 Redis의 Lua 엔진에 존재한 use-after-free(UAF) 결함으로, 인증된 사용자가 조작된 Lua 스크립트를 실행하면 Lua 샌드박스를 탈출해 원격 코드 실행(RCE)을 달성할 수 있습니다. 이 문제는 Redis의 Lua 스크립팅 기능을 사용하는 모든 릴리스(8.2.1 이하)에 영향을 주며, 8... 2025. 10. 15. Storm-2603: Velociraptor 악용·다중 랜섬웨어 유포 사건 정리 (2025-10) Storm-2603 Open-source DFIR tool abuse → multi-ransomware Key points • Velociraptor 악용 (DFIR 도구) • Warlock / LockBit / Babuk 등 다중 랜섬웨어 • SharePoint 취약점·툴셸(TOOLSHELL) 연계 사례 Storm-2603의 Velociraptor 악용 및 다중 랜섬웨어 유포 사건 정리 (2025-10) 핵심 요약: 2025년 10월 보안 리서치에 따르면 중국계로 추정되는 위협 그룹 Storm-2603이 오픈소스 DFIR(디지털 포렌식/사고대응.. 2025. 10. 13. Redis 5 vs Redis 6: 차이점·장단점 Redis Redis 5 Streams 도입 — Consumer Groups Redis 6 ACL · TLS · I/O Threads · RESP3 블로그: 운영 가이드 Redis 5 vs Redis 6 — 핵심 요약 Streams → ACL/TLS/I/O threads 로의 전환. 보안·운영·성능 측면에서 중요한 변경이 포함됩니다. Redis 5 vs Redis 6: 차이점·장단점·운영 가이드 (심층) 요약 TL;DR: Redis 5의 대표적인 혁신은 Streams의 도.. 2025. 9. 22. JavaScript 이벤트 흐름: 캡처링과 버블링 쉽게 보자 JavaScript 이벤트 흐름: 캡처링(Capturing) vs 버블링(Bubbling) 쉽게 이해하기 요약: 브라우저의 이벤트 전파는 캡처링 → 타겟 → 버블링 순입니다. 기본값은 버블링이며(즉, addEventListener에서 캡처 옵션을 지정하지 않으면 버블링 단계에서 이벤트 리스너가 실행됩니다), 실무에서는 이벤트 위임과 stopPropagation의 영향으로 어떤 단계에서 처리할지 설계하는 것이 중요합니다. 1. 이벤트 전파의 흐름(한눈에) 브라우저는 이벤트를 다음 순서로 전파합니다. 캡처링(Capturing): document → ... → 부모 → 타깃(요소)로 내려감 타깃(Target): 이벤트가 실제 발생한 요소에서 핸들러 실행(타깃 단계) 버블.. 2025. 9. 16. 웹 브라우저의 User-Agent 고찰 — 무엇이고, 어떻게/얼마나 믿을 수 있나? 웹 브라우저의 User-Agent 고찰 — 무엇이고, 어떻게/얼마나 믿을 수 있나?한줄 요약: User-Agent는 서버가 클라이언트를 이해하는 데 유용한 첫 단서지만, 매우 쉽게 조작될 수 있어 단독 신호로 신뢰하면 안 됩니다. 보조 신호(헤더 일관성·TLS 지문·행동 패턴 등)와 결합해 리스크 점수화하는 방식이 현실적입니다.1. User-Agent가 무엇인가?정의: HTTP 요청 헤더 중 하나로, 클라이언트(브라우저, 라이브러리, 봇 등)가 자신을 식별하기 위해 보내는 문자열입니다. 보통 브라우저 이름·버전·운영체제·렌더링 엔진 등 정보를 담습니다.예:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chr.. 2025. 9. 15. Java 21 리뷰: Virtual Threads부터 Pattern Matching까지, 무엇이 달라졌나 요약: Java 21(LTS)은 Virtual Threads의 안정화(프로젝트 Loom), Sequenced Collections, Pattern Matching 확장, 외부 함수·메모리 API 개선 등 개발자 생산성과 동시성 처리 모델을 크게 개선합니다. 이 글은 핵심 기능과 실무 적용 시 주의점, 업그레이드 체크리스트를 한눈에 정리합니다.핵심 신기능 요약Virtual Threads — 매우 가벼운 스레드로 대규모 동시 연결(I/O-bound) 처리에 유리합니다.Sequenced Collections (JEP 431) — 순서 보장 컬렉션 계층 도입으로 리스트/데크 관련 API가 더 직관적입니다.Pattern Matching 확장 — switch와 record pattern을 통한 더 간결하고 안전한 .. 2025. 9. 14. KT 데이터 유출 정리 — 펨토셀(불법 초소형 기지국) 통해 IMSI 등 5,561건 유출 정황 및 대응 가이드 핵심: 최근 KT의 모바일 가입자 일부에서 소액결제 피해와 함께 가입자 식별번호(IMSI) 등 개인정보 유출 정황이 확인되었습니다. 회사 자체조사 결과 불법 초소형 기지국(펨토셀)을 이용한 공격으로 최대 5,561명의 IMSI가 유출된 가능성이 제기되었습니다. :contentReference[oaicite:0]{index=0} 사건 개요 (무엇이 일어났나) 발생 시기: 2025년 8월 말(8/27~8/31)부터 수도권 서남부 일대에서 소액결제 피해가 보고되기 시작해 이후 확산됨. :contentReference[oaicite:1]{index=1} 수법: 해커가 불법 초소형 기지국(일명 펨토셀)을 설치해 인근 가입자의 단말을 유도 연결 → IMSI 등 가입자 식별 정보 획득 → .. 2025. 9. 14. Adobe Magento / Commerce 플랫폼에 발생한 치명적 Web API 취약점 “SessionReaper” (CVE-2025-54236) 핵심: Adobe의 Magento / Adobe Commerce 플랫폼에서 발견된 CVE-2025-54236(별칭: SessionReaper)은 Web API의 입력 검증 실패로 인해 사용자 상호작용 없이 세션 탈취(Session Takeover)가 가능한 치명적 취약점입니다. Magento 운영자는 즉시 보안 패치를 적용하고 세션·입력 검증 로직을 점검해야 합니다. 영향 요약 취약점: CVE-2025-54236 (ServiceInputProcessor 입력 검증 실패) 심각도: Critical (NVD 기준, 높은 점수) 영향 버전: Magento / Adobe Commerce 2.4.x 및 일부 이전 패치 버전(2.4.9-alpha2 이전 포함) — 공급사 권고 확인 필.. 2025. 9. 14. 2025년 9월 Microsoft Patch Tuesday 정리: 80여 개 취약점과 제로데이 2건 패치 Microsoft Patch Tuesday — 2025년 9월 요약 요약: 2025년 9월의 Patch Tuesday에서는 **약 80개 이상의 취약점**이 수정되었고(그중 여러 개는 Critical), **2개의 공개 제로데이(공개 보고된 취약점 포함)**가 패치 목록에 포함되었습니다. 관리자는 우선순위를 두고 긴급 패치 적용을 권장합니다. 핵심 포인트 총 패치 수: **80~84개(CVE 집계에 따라 차이)** — Critical·Important 수준 다수 포함. 제로데이: 이번 라운드에 **공개 제로데이 2건**이 포함되어 있음(패치 이전에 공개된 사례 존재). 주요 영향 제품군: Windows 플랫폼(특히 커널/SMB/권한 상승 관련), Microsoft Of.. 2025. 9. 13. ESLint 취약점 정리: 공급망 공격으로 본 오픈소스 보안 리스크 2025년 ESLint 공급망 공격 정리핵심: 2025년 7월, eslint-config-prettier 등 인기 ESLint·Prettier 관련 패키지가 유지관리자 계정 탈취 → 악성 postinstall 실행 → Windows에서 DLL 호출 형태로 악용된 공급망 공격이 보고되었습니다. 개발자는 즉시 의존성 확인 및 업데이트가 필요합니다.1) 사건 개요유지관리자 npm 계정이 피싱으로 탈취악성 스크립트(install.js)와 DLL 포함된 버전 배포Windows 환경에서 rundll32를 통한 원격 코드 실행 시도공식 대응: 취약 버전 삭제·보안 공지·클린 버전 재배포2) 영향을 받은 대표 패키지 및 버전eslint-config-prettier: 8.10.1, 9.1.1, 10.1.6, 10.1.7.. 2025. 9. 13. [Gitea] docker로 gitea 구축하기 (Feat. MariaDB) 먼저 서버에는 docker와 docker-compose가 설치되어 있어야 한다. 1. docker-compose.yml을 작성하여 gitea와 mysql을 설치한다. networks: gitea-server-network: external: trueservices: gitea: container_name: gitea image: gitea/gitea:latest restart: always volumes: - /sw/gitea-data:/data - /etc/localtime:/etc/localtime:ro - /etc/timezone:/etc/timezone:ro ports: - "3000:3000" - "222:22" .. 2025. 8. 18. gitlab 관리자 사용 시 504 발생으로 설정이 안될 때, (nginx,gitlab timeout 해도 안될 때) 나의 경우는 일단 import source 설정임.. 일단 docker에 gitlab이 올라가 있음. 먼저 서버 커맨드라인에서 docker exec -it gitlab bash docker 내부 진입 후 root@git:/# gitlab-rails console 대략 2~3분 기다렸다.. 그러면 갑자기 내부로 진입하면서 irb(main):043:0> 이런 커맨드라인이 나타단다. 이제 아래 내용을 입력했다. settings = ApplicationSetting.currentsettings.import_sources = ["gitlab_project", "gitea", "github"]settings.save! ! 아래 에러 발생 시 raise_validation_error': Validation fail.. 2025. 7. 16. 이전 1 2 3 4 ··· 10 다음
