ClickCease Ubuntu에서 심각한 libgit2 취약점 수정

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Ubuntu에서 심각한 libgit2 취약점 수정

by 로한 티말시나

2024년 3월 20일 TuxCare 전문가 팀

libgit2는 Git 핵심 메서드 라이브러리의 이식 가능한 순수 C 구현으로, 자체 소프트웨어 응용 프로그램 내에서 Git을 사용할 수 있습니다. 기본적으로 개발자는 Git 명령줄 인터페이스에 의존하지 않고 사용자 지정 Git 워크플로, IDE 및 기타 도구를 만드는 것과 같은 Git 기능을 애플리케이션에 직접 통합할 수 있습니다. 그러나 다른 소프트웨어 라이브러리와 마찬가지로 libgit2는 보안 결함에 영향을 받지 않습니다. 최근 Ubuntu 보안 팀은 Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 및 Ubuntu 16.04를 포함한 다양한 Ubuntu 릴리스에 영향을 미치는 여러 libgit2 취약점에 대한 수정 사항을 제공했습니다.

 

libgit2 취약점 해결

 

CVE-2020-12278(Cvss 3 심각도 점수: 9.8 위험)

libgit2 0.28.4 이전 버전 및 0.99.0 이전 버전 0.9x에서 취약점이 발견되었습니다. 경우에 따라 path.c가 NTFS 파티션에서 동등한 파일 이름을 잘못 처리했습니다. 이로 인해 리포지토리를 복제할 때 원격 코드 실행이 발생할 수 있습니다.

 

CVE-2020-12279(Cvss 3 심각도 점수: 9.8 위험)

libgit2 0.28.4 이전 버전과 0.99.0 이전 0.9x에서 취약점이 발견되었습니다. checkout.c가 NTFS 파티션에서 동등한 파일 이름을 잘못 처리했습니다. 이 결함으로 인해 리포지토리를 복제할 때 원격 코드가 실행될 수 있습니다.

 

CVE-2023-22742(Cvss 3 심각도 점수: 5.9 중간)

libgit2는 기본적으로 인증서 검사를 수행하지 않았습니다. 이 결함을 악용하면 공격자가 메시지 가로채기(man-in-the-middle) 공격을 수행할 수 있습니다. 이 취약성은 Ubuntu 버전 16.04, 18.04, 20.04 및 22.04에만 해당됩니다.

 

CVE-2024-24575(Cvss 3 심각도 점수: 7.5 높음)

libgit2에서 무한 루프를 트리거할 수 있는 결함이 발견되었습니다. 이 결함을 악용하면 서비스 거부 상태가 발생할 수 있습니다. 이 문제는 Ubuntu 23.10에서만 존재했습니다. 따라서 libgit2 1.4.0 이전 버전은 영향을 받지 않습니다. 이 문제는 버전 1.6.5 및 1.7.2에서 패치되었습니다.

 

CVE-2024-24577(Cvss 3 심각도 점수: 9.8 위험)

libgit2에서 부적절한 메모리 관리와 관련된 취약점이 발견되었습니다. 이 결함을 악용하면 서비스 거부 공격이 발생하거나 공격자가 임의 코드를 실행할 수 있습니다. 이 문제는 버전 1.6.5 및 1.7.2에서 패치되었습니다.

 

완화 조치

libgit2 취약점의 심각성을 감안할 때 영향을 받는 Ubuntu 릴리스의 사용자는 보안 업데이트를 즉시 적용해야 합니다. 패치를 지연하면 시스템이 잠재적인 악용에 노출될 수 있으므로 사용자는 libgit2 패키지를 최신 버전으로 업데이트하는 것을 우선시해야 합니다. 시기적절한 업데이트는 시스템의 복원력과 보안을 보장하여 새로운 위협과 취약성으로부터 보호합니다.

Ubuntu 16.04 및 Ubuntu 18.04 사용자는 Ubuntu Pro 구독이 있는 경우에만 이러한 업데이트를 받을 수 있습니다. 그러나 가격은 패치만 원하는 사람들에게 적합하지 않을 수 있습니다. 또는 수명이 다한 Ubuntu 시스템을 보호하기 위한 비용 효율적인 솔루션인 TuxCare의 Extended Lifecycle Support를 활용할 수 있습니다. 종료일 이후 추가 5년 동안 취약성 패치를 제공하고 시스템을 계속 보호할 수 있습니다. 또한 마이그레이션을 서두를 필요 없이 마이그레이션 전략을 수립할 수 있는 충분한 시간을 제공합니다.

Ubuntu 16.04Ubuntu 18.04에 대한 수명 주기 연장 지원에 대해 질문이 있는 경우 질문을 하면 Linux 보안 전문가 중 한 명이 답변을 드릴 것입니다.

 

출처: USN-6678-1

요약
Ubuntu에서 심각한 libgit2 취약점 수정
기사 이름
Ubuntu에서 심각한 libgit2 취약점 수정
설명
중요한 업데이트로 보안을 유지하세요! Ubuntu 릴리스에 영향을 미치는 최근 libgit2 취약점과 잠재적 위험을 완화하는 방법에 대해 알아봅니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기