strcpy 오버플로 취약점 대응

C 언어 strcpy 오버플로 취약점 C 언어에서 가장 오래되고 위험한 보안 취약점 중 하나가 strcpy() 기반 버퍼 오버플로입니다. 1️⃣ strcpy()가 왜 위험한가 strcpy()는 문자열을 복사할 때 대상 버퍼의 크기를 전혀 확인하지 않습니다. 소스 문자열이 대상 버퍼보다 크면, 메모리는 제한 없이 덮어쓰이게 됩니다. char buf[16];strcpy(buf, user_input); 이 상황에서 user_input이 16바이트를 초과하면, 버퍼 경계를 넘어 인접한 메모리 영역까지 침범하게 됩니다. 2️⃣ “마지막 return 전에 덮어버리면” 왜 치명적인가 ..

• format_list_bulleted IT 소식 뉴스/IT 소식
• · 2025. 12. 22.
• textsms

CVE-2025-43529·CVE-2025-14174 보안 취약점

CVE-2025-43529·CVE-2025-14174 보안 취약점 장애 개요 CVE-2025-43529와 CVE-2025-14174는 특정 애플리케이션 및 서버 구성에서 보안 경계를 우회하거나 비정상적인 동작을 유발할 수 있는 취약점으로 분류된다. 두 취약점 모두 외부 입력 처리와 권한 검증 과정에서 문제가 발생할 가능성이 있어 공격 시 시스템 무결성과 기밀성에 영향을 줄 수 있다. 환경 운영체제: Linux / Windows 서버 환경 서비스 유형: 웹 애플리케이션, API 서버, 백엔드 서비스 네트워크 노출: 외부 또는 내부망 서비스 구성에 따라 상이 보안 구성: 기본 설정 또는 커스텀 ..

• format_list_bulleted IT 소식 뉴스/CVE CODE
• · 2025. 12. 15.
• textsms

CVE-2025-41244 — VMware Aria Operations 권한 상승 취약점

CVE-2025-41244 — VMware Aria Operations 권한 상승 취약점 대응 보고서 1️⃣ 개요 CVE-2025-41244는 VMware Aria Operations와 VMware Tools 환경에서 비관리자(비특권) 사용자가 로컬 권한을 루트 수준으로 상승시킬 수 있는 취약점이다. 미국 CISA는 실제 공격 정황을 확인하고 해당 취약점을 악용 중인 알려진 취약점(KEV) 목록에 추가했다. 2️⃣ 원인 VMware Tools가 설치된 가상머신(VM)이 Aria Operations에 의해 SDMP(Server ..

• format_list_bulleted IT 소식 뉴스/CVE CODE
• · 2025. 11. 3.
• textsms

[PostgreSQL] CVE-2025-1094 — quoting API SQL Injection

PostgreSQL CVE-2025-1094 — quoting API SQL Injection 취약점 분석 및 대응 1️⃣ 개요 CVE-2025-1094는 PostgreSQL 클라이언트 라이브러리(libpq)의 quoting 관련 API에서 발생한 SQL Injection 취약점입니다. 해당 취약점은 문자열 인코딩 검증 실패 시 따옴표(quoting) 구문이 제대로 중화되지 않아 악성 입력이 SQL 명령으로 해석될 수 있는 문제로, PostgreSQL 프로젝트는 이를 Critical 수준(점수 8.1 / AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)으로 분류했습니다. ..

• format_list_bulleted IT 소식 뉴스/CVE CODE
• · 2025. 11. 2.
• textsms