ClickCease 데비안 보안 업데이트로 5가지 모스키토 취약점 수정

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

데비안 보안 업데이트로 5가지 모스키토 취약점 수정

로한 티말시나

2023년 10월 13일 - TuxCare 전문가 팀

데비안 팀은 최근 오픈 소스 MQTT 호환 메시지 브로커인 Mosquitto에서 발견된 5가지 취약점을 해결하는 보안 업데이트를 발표했습니다. 이러한 취약점은 악용될 경우 서비스 거부를 일으킬 수 있습니다.

여기에서는 모스키토 취약점의 CVE, 심각도 점수, 원인 및 위험에 대해 설명합니다.

 

모스키토 취약점 5가지 패치 완료

CVE-2021-34434

CVSS 3.x 점수: 5.3 보통

이클립스 모스키토에서 동적 보안 플러그인을 사용하는 경우, 내구성 있는 클라이언트가 오프라인 상태일 때 클라이언트가 주제를 구독할 수 없게 되더라도 해당 클라이언트에 대한 기존 구독은 취소되지 않습니다.

CVE-2023-0809

CVSS 3.x 점수: NVD에서 분석하지 않음

2.0.16 이전 버전에서는 CONNECT 패킷이 아닌 악의적인 초기 패킷을 기반으로 과도한 메모리가 할당되는 것으로 확인되었습니다.

CVE-2023-3592

CVSS 3.x 점수: 5.8 보통

클라이언트가 잘못된 속성 유형이 포함된 유언장 메시지와 함께 v5 CONNECT 패킷을 보낼 때 메모리 누수 문제가 Mosquitto에서 발견되었습니다.

CVE-2023-28366

CVSS 3.x 점수: 7.5 높음

모스키토의 브로커에는 클라이언트가 중복된 메시지 ID로 여러 개의 Q0S 2 메시지를 전송하고 PUBREC 명령에 응답하지 않을 때 원격으로 악용될 수 있는 메모리 누수 취약점이 포함되어 있습니다. 이 문제는 libc send 함수에서 EAGAIN 오류를 잘못 처리하기 때문에 발생합니다.

CVE-2021-41039

CVSS 3.x 점수: 7.5 높음

MQTT v5 클라이언트가 많은 사용자 속성 속성과 연결하여 과도한 CPU 사용량을 유발하여 성능 저하 및 잠재적인 DoS 공격을 유발하는 결함이 발견되었습니다.

이전 안정 배포판(불스아이)에서는 버전 2.0.11-1+deb11u1에서 이러한 문제가 해결되었으며, 안정 배포판(북웜)에서는 버전 2.0.11-1.2+deb12u1에서 이러한 문제가 해결되었습니다. 모기 취약점을 수정하고 관련 보안 위험을 방지하려면 모기 패키지를 업그레이드할 것을 적극 권장합니다.

 

이 문서의 출처는 Debian 보안 권고에서 확인할 수 있습니다.

요약
데비안 보안 업데이트로 5가지 모스키토 취약점 수정
기사 이름
데비안 보안 업데이트로 5가지 모스키토 취약점 수정
설명
메모리 문제 또는 서비스 거부를 유발할 수 있는 5가지 Mosquitto 취약점을 해결하는 최신 Debian 보안 업데이트를 확인하세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기