개요
Fiber 제품에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
GoFiber session middleware 버전: ~ 2.52.4(포함)
해결된 취약점
사용자가 자신의 session_id 값을 제공하여 해당 키를 사용하여 세션을 생성할 수 있는 Fiber 세션 미들웨어에서의 보안 취약점(CVE-2024-38513)
취약점 패치
최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 버전으로 업데이트 하시기 바랍니다.
GoFiber session middleware 버전: 2.52.5
※ 즉시 업그레이드를 할 수 없는 사용자는 다음 해결 방법을 적용하여 위험을 줄일 수 있습니다.
- 세션 ID 검증: 세션 ID가 서버에게 안전하게 생성되었는지 확인하기 위하여 추가 검증을 구현합니다. (사용자가 직접 세션 ID를 제공하지 않도록)
- 세션 관리: 세션 ID를 정기적으로 교체하고 엄격한 세션 만료 정책을 시행합니다.
참고 사이트
[1] CVE-2024-38513 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-38513
[2] Session Middleware Token Injection Vulnerability
https://github.com/gofiber/fiber/security/advisories/GHSA-98j2-3j3p-fw2v