우분투에서 심각도가 높은 인텔 마이크로코드 취약점 수정
최근 인텔 마이크로코드에서 잠재적으로 권한 상승으로 이어질 수 있는 심각도가 높은 취약점이 여러 개 발견되었습니다. 우분투의 개발사인 Canonical은 이러한 취약점을 해결하기 위한 보안 업데이트를 발표하는 등 신속하게 대응하고 있습니다. 이 문서에서는 이러한 취약점에 대한 자세한 내용을 살펴보고 우분투 시스템을 보호하는 데 필요한 필수 지침을 제공합니다.
인텔 마이크로코드 취약점 개요
CVE-2023-42667 (CVSS v3 심각도 점수: 7.8 높음)
일부 인텔® 코어™ 울트라 프로세서에서 스트림 캐시가 제대로 격리되지 않는 심각한 문제가 발견되었습니다. 이 결함은 로컬에서 인증된 사용자가 악용하여 시스템에 대한 권한을 상승시킬 수 있습니다.
CVE-2023-49141 (CVSS v3 심각도 점수: 7.8 높음)
CVE-2023-42667과 유사하게, 일부 인텔® 프로세서에서 부적절한 스트림 캐시 격리와 관련된 또 다른 취약점이 발견되었습니다. 이 결함으로 인해 로컬 인증 사용자가 권한을 상승시켜 영향을 받는 시스템에서 권한이 없는 작업을 실행할 수 있습니다.
CVE-2024-24853 (CVSS v3 심각도 점수: 7.2 높음)
이 취약점은 특정 인텔® 프로세서의 실행 모니터와 SMI 전송 모니터(STM) 간의 전환에 영향을 줍니다. 권한이 있는 로컬 사용자가 이 결함을 악용하여 권한을 상승시켜 잠재적으로 전체 시스템을 제어할 수 있습니다.
CVE-2024-24980 (CVSS v3 심각도 점수: 6.1 중간)
3세대, 4세대, 5세대 인텔® 제온® 프로세서에서 보호 메커니즘이 올바르게 구현되지 않은 취약점이 발견되었습니다. 로컬 공격자가 이 문제를 악용하여 권한을 상승시켜 시스템에 무단으로 액세스하거나 제어할 수 있습니다.
CVE-2024-25939 (CVSS v3 심각도 점수: 6.0 중간)
이 결함은 3세대 인텔® 제온® 스케일러블 프로세서에서 발견되었으며, 값이 다른 미러링된 영역을 부적절하게 처리하면 서비스 거부(시스템 충돌)가 발생할 수 있습니다. 권한이 있는 로컬 사용자가 이 취약점을 악용하여 시스템 운영을 방해할 수 있습니다.
우분투 시스템 보호
이러한 취약점으로부터 우분투 시스템을 보호하려면 인텔 마이크로코드 패키지를 최신 패치 버전으로 업데이트하는 것이 중요합니다. Canonical은 다음 Ubuntu 버전에 대한 중요 업데이트를 릴리스했습니다:
- 우분투 24.04 LTS
- 우분투 22.04 LTS
- 우분투 20.04 LTS
- 우분투 18.04 ESM
- 우분투 16.04 ESM
수명 종료(EOL)에 도달한 Ubuntu 18.04 및 Ubuntu 16.04의 경우, Canonical은 ESM(확장 보안 유지 관리)을 통해 보안 업데이트를 제공합니다. 이러한 업데이트는 상대적으로 고가인 Ubuntu Pro를 구독하는 사용자에게 제공됩니다.
TuxCare는 합리적인 가격의 대체 솔루션인 ELS(수명 주기 연장 지원)를 제공하여 EOL 이후 Ubuntu 16.04 및 Ubuntu 18.04에 대해 추가로 5년 동안 보안 패치를 제공합니다. TuxCare의 ELS는 Linux 커널, 인텔 마이크로코드, Python, OpenSSL, glibc, OpenJDK 등 140개 이상의 중요 패키지를 지원합니다. 따라서 강력한 보안을 보장하면서 구형 Ubuntu 시스템을 유지해야 하는 조직에 비용 효율적인 옵션이 될 수 있습니다.
ELS 팀은 이러한 취약점에 대한 패치를 배포하기 위해 적극적으로 노력하고 있으며, 곧 패치가 배포될 예정입니다. 이 CVE 추적기를 사용하여 다양한 Linux 배포판에서 모든 취약점의 릴리스 상태를 모니터링할 수 있습니다.
출처: USN-6967-1