Ubuntu에서 심각한 libgit2 취약점 수정
libgit2는 Git 핵심 메서드 라이브러리의 이식 가능한 순수 C 구현으로, 자체 소프트웨어 응용 프로그램 내에서 Git을 사용할 수 있습니다. 기본적으로 개발자는 Git 명령줄 인터페이스에 의존하지 않고 사용자 지정 Git 워크플로, IDE 및 기타 도구를 만드는 것과 같은 Git 기능을 애플리케이션에 직접 통합할 수 있습니다. 그러나 다른 소프트웨어 라이브러리와 마찬가지로 libgit2는 보안 결함에 영향을 받지 않습니다. 최근 Ubuntu 보안 팀은 Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 및 Ubuntu 16.04를 포함한 다양한 Ubuntu 릴리스에 영향을 미치는 여러 libgit2 취약점에 대한 수정 사항을 제공했습니다.
libgit2 취약점 해결
CVE-2020-12278(Cvss 3 심각도 점수: 9.8 위험)
libgit2 0.28.4 이전 버전 및 0.99.0 이전 버전 0.9x에서 취약점이 발견되었습니다. 경우에 따라 path.c가 NTFS 파티션에서 동등한 파일 이름을 잘못 처리했습니다. 이로 인해 리포지토리를 복제할 때 원격 코드 실행이 발생할 수 있습니다.
CVE-2020-12279(Cvss 3 심각도 점수: 9.8 위험)
libgit2 0.28.4 이전 버전과 0.99.0 이전 0.9x에서 취약점이 발견되었습니다. checkout.c가 NTFS 파티션에서 동등한 파일 이름을 잘못 처리했습니다. 이 결함으로 인해 리포지토리를 복제할 때 원격 코드가 실행될 수 있습니다.
CVE-2023-22742(Cvss 3 심각도 점수: 5.9 중간)
libgit2는 기본적으로 인증서 검사를 수행하지 않았습니다. 이 결함을 악용하면 공격자가 메시지 가로채기(man-in-the-middle) 공격을 수행할 수 있습니다. 이 취약성은 Ubuntu 버전 16.04, 18.04, 20.04 및 22.04에만 해당됩니다.
CVE-2024-24575(Cvss 3 심각도 점수: 7.5 높음)
libgit2에서 무한 루프를 트리거할 수 있는 결함이 발견되었습니다. 이 결함을 악용하면 서비스 거부 상태가 발생할 수 있습니다. 이 문제는 Ubuntu 23.10에서만 존재했습니다. 따라서 libgit2 1.4.0 이전 버전은 영향을 받지 않습니다. 이 문제는 버전 1.6.5 및 1.7.2에서 패치되었습니다.
CVE-2024-24577(Cvss 3 심각도 점수: 9.8 위험)
libgit2에서 부적절한 메모리 관리와 관련된 취약점이 발견되었습니다. 이 결함을 악용하면 서비스 거부 공격이 발생하거나 공격자가 임의 코드를 실행할 수 있습니다. 이 문제는 버전 1.6.5 및 1.7.2에서 패치되었습니다.
완화 조치
libgit2 취약점의 심각성을 감안할 때 영향을 받는 Ubuntu 릴리스의 사용자는 보안 업데이트를 즉시 적용해야 합니다. 패치를 지연하면 시스템이 잠재적인 악용에 노출될 수 있으므로 사용자는 libgit2 패키지를 최신 버전으로 업데이트하는 것을 우선시해야 합니다. 시기적절한 업데이트는 시스템의 복원력과 보안을 보장하여 새로운 위협과 취약성으로부터 보호합니다.
Ubuntu 16.04 및 Ubuntu 18.04 사용자는 Ubuntu Pro 구독이 있는 경우에만 이러한 업데이트를 받을 수 있습니다. 그러나 가격은 패치만 원하는 사람들에게 적합하지 않을 수 있습니다. 또는 수명이 다한 Ubuntu 시스템을 보호하기 위한 비용 효율적인 솔루션인 TuxCare의 Extended Lifecycle Support를 활용할 수 있습니다. 종료일 이후 추가 5년 동안 취약성 패치를 제공하고 시스템을 계속 보호할 수 있습니다. 또한 마이그레이션을 서두를 필요 없이 마이그레이션 전략을 수립할 수 있는 충분한 시간을 제공합니다.
Ubuntu 16.04 및 Ubuntu 18.04에 대한 수명 주기 연장 지원에 대해 질문이 있는 경우 질문을 하면 Linux 보안 전문가 중 한 명이 답변을 드릴 것입니다.
출처: USN-6678-1