1. 취약점 (KVE-2024-0285/0286/0287/0291) 권고 사항 ① CROWNIX 7 부적절한 이용자 인가 여부 (KVE-2024-0285) CROWNIX 7 ManagerSerivce 관련 부적절한 이용자 인가 여부 취약점을 통한 관리자 계정 획득 - 조치 내용 ㆍ MananagerService를 통한 API 사용 시 로그인 세션을 검사하는 코드를 추가하여 관리자 로그인 없이 getUserInfo / updateUserInfo 사용할 수 없도록 조치 ㆍ download 경로에 리눅스 OS의 루트(/)의 Window OS와 각 드라이브 루트경로를 설정하지 못하도록 조치 - 대상 제품 CROWNIX Report & ERS 7.x ~ 7.4.3.599 버전 CROWNIX Report & ERS 8.x ~ 8.0.3.79 버전 - 해결 방안 각 버전에 맞게 CROWNIX Report & ERS 패치 CROWNIX Report & ERS 7.x -> 7.4.3.561 상위 버전 CROWNIX Report & ERS 8.x -> 8.0.3.82 상위 버전 ② CROWNIX 7,8 버전 파일다운로드 및 삭제 (KVE-2024-0286) 부적절한 이용자 인가 여부 취약점 연계를 통한 파일다운로드 및 삭제 - 조치 내용 ㆍ 권한 없는 사용자가 CROWNIX Reporting Server(7.2.2.302) 관련 설정 값을 변경할 수 없도록 조치 ㆍ 또한, html5.save.dir와 같은 다운로드관련 경로의 경우, 아무리 사용자 편의성 향상을 위한 목적이라도 루트 경로로 설정할 수 없도록 조치 ㆍ delete true/false 와 같은 기능은 사용자 입력을 통해 변경되지 않도록 조치 - 대상 제품 CROWNIX Report & ERS 7.x ~ 7.4.3.599 버전 CROWNIX Report & ERS 8.x ~ 8.0.3.79 버전 - 해결 방안 각 버전에 맞게 CROWNIX Report & ERS 패치 CROWNIX Report & ERS 7.x -> 7.4.3.561 상위 버전 CROWNIX Report & ERS 8.x -> 8.0.3.82 상위 버전 ③ CROWNIX Report/ERS 7 및 8버전 파일 업로드 및 실행 (KVE-2024-0287) CROWNIX ERS Reporting Server opcode 500 기능을 이용한 악의적인 파일 업로드 및 실행이 가능함 - 조치 내용 ㆍ opcode=500 에서 mrd_path 와 mrd_param 을 통해 외부데이터를 가져올 수 없도록 조치 ㆍ mrd_param /rfn을 통해 가져오는 파일 내용에 대한 검증 및 필터링 적용 ㆍ 필수 파라미터 export_type와 옵션파라미터인 export_name 의 취약점 조치방안 확장자가 동일한지 검증하는 로직 추가 ㆍ export_type이 ‘csv’인 경우, export_name의 파일 확장자를 검증하여 csv, txt, ini 까지는 허용을 하고 그 외의 확장자는 파일을 생성하지 않고 에러 처리 - 대상 제품 CROWNIX Report & ERS 5.x ~ 5.5.14.1070 CROWNIX Report & ERS 7.x ~ 7.4.3.960 CROWNIX Report & ERS 8.x ~ 8.2.0.345 - 해결 방안 각 버전에 맞게 CROWNIX Report & ERS 패치 CROWNIX Report & ERS 5.x -> 5.5.14.1071 상위 버전 CROWNIX Report & ERS 7.x -> 7.4.3.961 상위 버전 CROWNIX Report & ERS 8.x -> 8.2.0.346 상위 버전 ④ CROWNIX Report/ERS 7 및 8버전 파일 업로드 및 실행2 (KVE-2024-0291) 악의적인 파일 업로드 및 실행 가능 - 조치 내용 ㆍ export_type이 ‘csv’인 경우, export_name의 파일 확장자를 검증하여 csv, txt, ini 까지는 허용을 하고 그 외의 확장자는 파일을 생성하지 않고 에러 처리 ㆍ mrd_param /rdata 과 mrd_data의 내용 검증 로직 추가 ㆍ export_name 파라미터의 확장자를 확인하는 검증 로직 추가 ㆍ export_name 파라미터의 확장자와 export_type 파라미터가 동일한지 검증 로직 추가 ㆍ export_name 파라미터에서 ../ 와 같은 경로 이동 문자열 제한 - 대상 제품 CROWNIX Report & ERS 5.x ~ 5.5.14.1070 CROWNIX Report & ERS 7.x ~ 7.4.3.960 CROWNIX Report & ERS 8.x ~ 8.2.0.345 - 해결 방안 각 버전에 맞게 CROWNIX Report & ERS 패치 CROWNIX Report & ERS 5.x -> 5.5.14.1071 상위 버전 CROWNIX Report & ERS 7.x -> 7.4.3.961 상위 버전 CROWNIX Report & ERS 8.x -> 8.2.0.346 상위 버전 2. 패치모듈 요청 방법 ㆍ기술지원 센터 유선문의 : 02-2188-8500 (후 1번) ㆍ기술지원 센터 메일문의 : report@m2soft.co.kr - 문의 사항한국 인터넷 진흥원 인터넷 침해 대응 센터 : 국번 없이 118엠투소프트 보안 패치 관련 대응 센터 : rdvistasupport@m2soft.co.kr

7월 19일(금) – Crownix Report & ERS 7.0 교육 8월 22일(목) – Crownix Report & ERS 7.0 교육 8월 23일(금) – Crownix SmartForm 7.0 교육 9월 27일(금) – Crownix Report & ERS 7.0 교육 10월 18일(금) – Crownix Report & ERS 7.0 교육 11월 21일(목) – Crownix Report & ERS 7.0 교육 11월 22일(금) – Crownix SmartForm 7.0 교육 12월 20일(금) – Crownix Report & ERS 7.0 교육 교육대상 : 유/무상 유지보수 고객 교육신청기간 : 매월 1일~ 매월 15일 교육시간 : AM 10:00 ~ PM 5:00 교육장소 : 신청 후 메일 공지 교육 관련 문의 : 최민기 사원 / 02-2188-8571 수강신청하기

1월 19일(금) – Crownix Report & ERS 7.0 교육 2월 22일(목) – Crownix Report & ERS 7.0 교육 2월 23일(금) – Crownix SmartForm 7.0 교육 3월 15일(금) – Crownix Report & ERS 7.0 교육 4월 19일(금) – Crownix Report & ERS 7.0 교육 5월 23일(목) – Crownix Report & ERS 7.0 교육 5월 24일(금) – Crownix SmartForm 7.0 교육 6월 21일(금) – Crownix Report & ERS 7.0 교육 교육대상 : 유/무상 유지보수 고객 교육신청기간 : 매월 1일~ 매월 15일 교육시간 : AM 10:00 ~ PM 5:00 교육장소 : 신청 후 메일 공지 교육 관련 문의 : 최민기 사원 / 02-2188-8571 수강신청하기

안녕하십니까 엠투소프트입니다. 한글 OCX 컨트롤 지원 종료 관련하여 제품 이용 시 확장자를 .hml 로 저장할 경우 에러가 발생할 수 있습니다.일반적인 .hwp 확장자의 경우 영향도가 없으므로 이용에 참고 부탁 드립니다. [관련 자료]한글 OCX 컨트롤 지원 종료 공지 : https://www.hancom.com/board/noticeView.do?artcl_seq=11881

안녕하십니까 엠투소프트입니다. 홈페이지 웹 취약점 진단으로 2023.08.09 ~ 2023.08.16 기간 동안 서버 장애가 발생할 수 있습니다. 이용에 참고 부탁 드립니다. 감사합니다.

Edge 브라우저 최신 버전 인쇄 오류로 프린터 명이 한글로 되어 있을 경우에 프린터 다이얼로그 창은 뜨지만 로딩만 표시되는 현상이 발생합니다. - 대상 제품Edge 브라우저 109.0.1518.55 [해결 방안][제어판 - 장치 및 프린터 - 프린터 속성]에서 프린터 명이 한글로 되어있는지 확인 후 영문으로 수정해주시기 바랍니다.

7월 21일(금) – Crownix Report & ERS 7.0 교육 8월 24일(목) – Crownix Report & ERS 7.0 교육 8월 25일(금) – Crownix SmartForm 7.0 교육 9월 22일(금) – Crownix Report & ERS 7.0 교육 10월 27일(금) – Crownix Report & ERS 7.0 교육 11월 23일(목) – Crownix Report & ERS 7.0 교육 11월 24일(금) – Crownix SmartForm 7.0 교육 12월 15일(금) – Crownix Report & ERS 7.0 교육 교육대상 : 유/무상 유지보수 고객 교육신청기간 : 매월 1일~ 매월 15일 교육시간 : AM 10:00 ~ PM 5:00 교육장소 : 신청 후 메일 공지 교육 관련 문의 : 최민기 사원 / 02-2188-8571 수강신청하기

1월 27일(금) – Crownix Report & ERS 7.0 교육 2월 23일(목) – Crownix Report & ERS 7.0 교육 2월 24일(금) – Crownix SmartForm 7.0 교육 3월 24일(금) – Crownix Report & ERS 7.0 교육 4월 21일(금) – Crownix Report & ERS 7.0 교육 5월 18일(목) – Crownix Report & ERS 7.0 교육 5월 19일(금) – Crownix SmartForm 7.0 교육 6월 23일(금) – Crownix Report & ERS 7.0 교육 교육대상 : 유/무상 유지보수 고객 교육신청기간 : 매월 1일~ 매월 15일 교육시간 : AM 10:00 ~ PM 5:00 교육장소 : 신청 후 메일 공지 교육 관련 문의 : 최민기 사원 / 02-2188-8571 수강신청하기

7월 22일(금) – Crownix Report & ERS 7.0 교육 8월 18일(목) – Crownix Report & ERS 7.0 교육 8월 19일(금) – Crownix SmartForm 7.0 교육 9월 23일(금) – Crownix Report & ERS 7.0 교육 10월 21일(금) – Crownix Report & ERS 7.0 교육 11월 17일(목) – Crownix Report & ERS 7.0 교육 11월 18일(금) – Crownix SmartForm 7.0 교육 12월 16일(금) – Crownix Report & ERS 7.0 교육 교육대상 : 유/무상 유지보수 고객 교육신청기간 : 매월 1일~ 매월 15일교육시간 : AM 10:00 ~ PM 5:00 교육장소 : 신청 후 메일 공지 교육 관련 문의 : 김선기 대리 / 02-2188-8532 수강신청하기

1월 21일(금) – Crownix Report & ERS 7.0 교육 2월 17일(목) – Crownix Report & ERS 7.0 교육 2월 18일(금) – Crownix SmartForm 7.0 교육 3월 18일(금) – Crownix Report & ERS 7.0 교육 4월 22일(금) – Crownix Report & ERS 7.0 교육 5월 19일(목) – Crownix Report & ERS 7.0 교육 5월 20일(금) – Crownix SmartForm 7.0 교육 6월 17일(금) – Crownix Report & ERS 7.0 교육 교육대상 : 유/무상 유지보수 고객 교육신청기간 : 매월 1일~ 매월 15일교육시간 : AM 10:00 ~ PM 5:00 교육장소 : 신청 후 메일 공지 교육 관련 문의 : 김선기 대리 / 02-2188-8532 수강신청하기

7월 23일(금) – Crownix Report & ERS 6.0 교육8월 26일(목) – Crownix Report & ERS 7.0 교육8월 27일(금) – Crownix SmartForm 7.0 교육9월 24일(금) – Crownix Report & ERS 7.0 교육10월 22일(금) – Crownix Report & ERS 7.0 교육11월 25일(목) – Crownix Report & ERS 7.0 교육11월 26일(금) – Crownix SmartForm 7.0 교육12월 17일(금) – Crownix Report & ERS 7.0 교육 교육대상 : 유/무상 유지보수 고객 교육신청기간 : 매월 1일~ 매월 15일교육시간 : AM 10:00 ~ PM 5:00 교육장소 : 신청 후 메일 공지 교육 관련 문의 : 김선기 대리 / 02-2188-8532 수강신청하기

다운로드 취약점 (KVE-2021-0599) 관련 패치 - 대상 제품 제품군 영향 받는 버전 RD Server 5.0.2.362 이하 버전 [ 해결 방안 ] 1) 다운로드 링크의 파일로 교체 <다운로드 링크> http://fs.m2soft.co.kr/report/build/patch_363.zip 2) Java 1.7.0_40 이상 업그레이드(Java 1.7.0_25 이하 버전에서만 발생) - 문의 사항 한국 인터넷 진흥원 인터넷 침해 대응 센터 : 국번 없이 118 엠투소프트 보안 패치 관련 대응 센터 : rdvistasupport@m2soft.co.kr