파싱을 다르게 하는 문제 때문에 매우 심각한 취약성이 발생했다고 하네요. .NET 8, 9, 10(rc-1)에 적용된다고 하니 주의해야겠습니다.
6 Likes
■ 취약점 개요: 2025년 10월 14일, Microsoft는 CVE-2025-55315에 대응하는 보안 업데이트를 배포했습니다.
이 취약점은 ASP.NET Core의 웹서버 엔진인 Kestrel이 HTTP 요청을 파싱할 때 요청 경계(Request Boundary)를 적절히 검증하지 못하는 구조적 결함에 기인합니다.
격자는 이를 이용해 “정상 요청” 내에 “숨겨진 요청(스머글링된 요청)”을 삽입할 수 있으며, 경우에 따라 권한상승, 내부 API 호출 우회, 세션 탈취 등이 발생할 수 있습니다.
■ 위험도: CVSS 점수는 9.9로 매우 높게 책정돼 있으며, 본 취약점은 ‘인증·인가 기능 우회’와 같이 보안의 핵심을 건드릴 수 있는 구조입니다. 특히 금융, 의료, 공공 등 민감한 데이터나 규제 준수가 요구되는 환경에서는 즉시 대응이 권고됩니다.
■ 영향을 받는 조건: 애플리케이션이 다음 조건 중 하나라도 갖추고 있다면 영향 가능성이 존재합니다:
- 요청을 수작업(raw request)으로 처리하거나 커스텀 파싱 로직이 있는 경우
- HTTP 헤더(Content-Length, Transfer-Encoding 등)를 보안 결정(인증·인가 등)에 활용하는 경우
- 프록시(예: NGINX, Azure Front Door) 뒤에서 요청이 “정상적 흐름”이라 가정되어 처리되는 구조라면 더욱 주의가 필요합니다.
■ 권고 조치
- .NET Framework 4.x: Microsoft.AspNetCore.Server.Kestrel.Core 패키지를 사용하는 경우에 한하여 해당 패키지 버전을 2.3.6 이상으로 업그레이드
- .NET 8: 8.0.21 이상으로 업그레이드
- .NET 9: 9.0.10 이상으로 업그레이드
- .NET 10: 10.0.0-rc2 이상으로 업그레이드
- .NET Core 1.x ~ 3.x, .NET 5 ~ .NET 7의 경우는 반드시 최신 버전의 .NET LTS로 업그레이드를 진행해야 합니다.
그리고 업데이트와 별개로 아래 사항을 추가 점검하실 것을 권장합니다.
- 애플리케이션의 요청 처리 로직을 점검하세요 — 인증·인가, 입력검증, 헤더 기반 결정로직이 안전하게 동작하는지 확인이 필요합니다.
- 프록시 및 리버스프록시 아키텍처가 있다면, 요청 정규화(normalization)와 스머글링 탐지 기능이 적용돼 있는지 검토하세요.
- 로그 및 텔레메트리에서 비정상적인 요청 패턴이 나타나는지 모니터링을 강화하는 것이 좋습니다.
6 Likes
요 문제가 공개되고 나서 곧바로 버전을 올렸지요.
영향받는 영역은 없었지만 미리미리 준비해두는 게 좋은 같습니다.
4 Likes