본문으로 바로가기 주메뉴로 바로가기

공지사항

Home > 자료실 > 공지사항

view

"[보안권고] 액티브소프트 MyBuilder 보안 조치 권고" 상세페이지

글의 제목, 등록일, 조회수, 첨부파일, 내용을 제공합니다.

제목 [보안권고] 액티브소프트 MyBuilder 보안 조치 권고
등록일 2020-02-13 조회수 372
첨부파일 첨부된 파일 없음

□ 개요

 ○ 액티브소프트社의 MyBuilder* 취약점 보안 조치 권고

    * MyBuilder : 엑티브소프트社 에서 개발한 UI및 리포트 통합 솔루션

 ○ 영향 받는 버전을 사용 중인 이용자는 해결방안을 참고하여 보안 조치 권고

 

□ 주요내용

 ○ (상세내용)

   - ActiveSoft社 마이빌더에서 취약한 암호화 알고리즘(RC4) 사용 시 발생 할 수 있는 정보 노출 취약점

 ○ (영향을 받는 제품)

   - RC4 암호화 알고리즘이 제공되는 모든 마이빌더(MyBuilder) 버전 (2009, 2011, plus)

 ○ (해결방안)

   - 솔루션 내 암호화 방식 변경

    · MyBuilder에서 제공하는 SEED, AES 암호화 방식으로 변경

     ※ SEED/AES 지원 버전은 6.2.2016.429 이후 버전임(MyBuilder2009, MyBuilder 2011, MyBuilderPlus)

    · SEED/AES 지원하지 않는 이전 버전은 액티브소프트 고객센터로 문의

     ※ 액티브소프트 고객센터 : 02-2203-7030 (Support@activesoft.co.kr)

   - 암호화 방식 변경 및 적용 방법

 ------------------------------------------------------------------------------------------------

     ① 현재 사용중인 HTTP 구간 암호화 확인 방법

     → 환경설정(MyForm.inf) – [DataBase] Section - DB 연결정보에 ENCODE 옵션 확인

        [암호화 적용 옵션]

 1  = RC4 256 송신/수신 암호화

 2  = RC4 256 송신 암호화

 11 = kisa seed 256 송신/수신 암호화(EBC 작업모드)

 12 = kisa seed 256 송신만 암호화(EBC 작업모드)

 13 = kisa seed 128 송신/수신 암호화(CBC 작업모드)

 14 = kisa seed 128 송신만 암호화(CBC 작업모드)

 15 = kisa seed 256 송신/수신 암호화(EBC 작업모드) - 필드명 암호화

 17 = kisa seed 128 송신/수신 암호화(CBC 작업모드) - 필드명 암호화

 21 = aes 256 송신/수신 암호화

 22 = aes 256 송신만 암호화

 23 = aes 256 송신/수신 암호화 - 필드명 암호화

 ------------------------------------------------------------------------------------------------

     ③ 암호화 적용 방법

     → 환경설정 - [DataBase] Section에 ENCODE 옵션 지정

     → 암호화 키를 환경설정 - [DataBase] Section에 HTTPKEY로 지정

     → HTTPKEY는 MyBuilder HTTP 암호 만들기로 생성된 값

     → Agent에 지정한 암호화 방식 라이브러리 적용

     ※ MyBuilder와 데이타를 송/수신하는 서블릿을 Agent로 통칭

     ※ SEED, AES 암호화 라이브러리는 KISA 사이트 참조(https://seed.kisa.or.kr)

     ※ Agent 샘플이 필요한 경우, 액티브소프트 고객센터(02-2203-7030)로 문의

 ------------------------------------------------------------------------------------------------

 

□ 기타

 ○ (참고사이트)

   - http://www.activesoft.co.kr/bbs/bbs/board.php?bo_table=News&wr_id=151

   - https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35268

  ○ 위 사항과 관련하여 궁금한 사항이나, 특이사항이 있는경우 의료기관 공동보안관제센터로 연락 주시기 바랍니다

     ※문의처(의료ISAC 상황실) : 02-6360-6280