BIND 취약점: 긴급 보안 업데이트 출시
BIND에서 심각도가 높은 여러 가지 취약점이 발견되어 수백만 개의 DNS 서버가 서비스 거부 공격에 노출될 가능성이 있습니다. 이러한 문제로 인해 우분투 및 데비안과 같은 주요 Linux 배포판에서 긴급 보안 업데이트를 실시했습니다. 이 문서에서는 이러한 취약점의 세부 사항과 잠재적인 영향을 살펴보고 Linux 시스템을 보호하는 방법에 대한 지침을 제공합니다.
바인드 취약점 이해
CVE-2024-0760 (CVSS v3 심각도 점수: 7.5 높음)
BIND가 TCP를 통한 DNS 메시지 폭주를 잘못 처리하여 공격 중 불안정성을 유발할 수 있는 취약점이 발견되었습니다. 원격 공격자는 이 취약점을 악용하여 BIND를 불안정하게 만들어 서비스 거부를 일으킬 수 있습니다. ACL을 구현한다고 해서 이 공격을 막을 수는 없습니다.
CVE-2024-1737 (CVSS v3 심각도 점수: 7.5 높음)
바인딩은 동시에 존재하는 많은 수의 리소스 레코드(RR)에 의해 압도되어 리소스 고갈 및 DoS 상태로 이어질 수 있습니다.
CVE-2024-1975 (CVSS v3 심각도 점수: 7.5 높음)
이 문제는 바인드가 많은 수의 SIG(0) 서명 요청을 잘못 처리하는 데서 발생했습니다. 원격 공격자는 이 취약점을 악용하여 Bind가 CPU 리소스를 고갈시켜 서비스 거부를 일으킬 수 있습니다.
이 취약점은 바인드가 안정적인 캐시 데이터와 권한 영역 콘텐츠를 모두 잘못 처리하는 것과 관련이 있습니다. 원격 공격자는 이 결함을 사용하여 Bind 서버를 다운시켜 서비스 거부를 일으킬 수 있습니다.
보안을 유지하는 방법
이러한 중요한 문제를 해결하기 위해 우분투와 데비안에서는 지원되는 버전에 대한 보안 업데이트를 발표했습니다.
우분투: 우분투 24.04 LTS, 우분투 22.04 LTS 및 우분투 20.04 LTS에 대한 업데이트가 제공됩니다.
데비안: 데비안 11 및 데비안 12에 대한 보안 패치가 제공되었습니다.
이러한 위험을 완화하려면 BIND 패키지를 최신 버전으로 업데이트하는 것이 필수적입니다. 이렇게 하면 취약점을 해결할 수 있을 뿐만 아니라 버그 수정, 새로운 기능, 향상된 안정성 등의 이점을 누릴 수 있습니다.
구형 Linux 배포판의 과제
우분투와 데비안은 지원되는 버전에 대해 적시에 보안 업데이트를 제공하지만, 여전히 지원 종료(EOL) Linux 배포판을 사용하는 조직은 심각한 보안 위험에 직면해 있습니다. 이러한 오래된 시스템은 더 이상 중요한 보안 패치를 받지 못하기 때문에 최근에 발견된 바인드 취약점과 같은 다양한 취약점에 노출되어 있습니다.
이 문제를 해결하려면 TuxCare의 ELS(확장 수명 주기 지원)를 활용하는 것을 고려하세요. ELS는 CentOS 6, CentOS 7, CentOS 8, CentOS 스트림 8, 오라클 리눅스 6, 우분투 16.04, 우분투 18.04를 포함한 다양한 EOL 시스템에 대한 지속적인 보안 업데이트를 제공합니다.
위의 바인드 취약점의 경우 TuxCare의 CVE 트래커를 사용하여 여러 릴리스에서 ELS 패치 상태를 추적할 수 있습니다.
최종 생각
BIND의 취약점은 DNS 인프라를 최신 상태로 안전하게 유지하는 것이 얼마나 중요한지를 강조합니다. 보안 패치를 즉시 적용하고 구형 시스템에 대한 확장 지원 옵션을 고려하면 공격 성공의 위험을 크게 줄이고 잠재적인 중단으로부터 조직을 보호할 수 있습니다.
이 데이터시트에서 수명이 다한 Linux를 실행할 때의 위험성에 대해 알아보세요.
출처 USN-6909-1