ClickCease 우분투에서 여러 가지 Go 취약점이 수정되었습니다.

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

우분투에서 여러 가지 Go 취약점이 수정되었습니다.

로한 티말시나

2024년 1월 24일 TuxCare 전문가 팀

Go는 효율성과 단순성으로 인기를 얻고 있는 오픈 소스 프로그래밍 언어입니다. 하지만 다른 소프트웨어와 마찬가지로 라이브러리와 모듈에 취약점이 숨어 있을 수 있습니다. 앱을 보호하고 안전한 코드를 유지하려면 이러한 취약점을 인지하고 제때에 수정 사항을 적용하는 것이 중요합니다.

최근 우분투 보안 업데이트는 여러 릴리스에서 여러 가지 Go 취약점을 해결하여 정기적인 취약점 점검의 중요성을 강조했습니다. 이러한 문제를 자세히 살펴보고 이러한 문제가 Ubuntu 시스템에 미칠 수 있는 영향을 이해해 보겠습니다.

 

우분투의 Go 취약점 수정

 

CVE-2023-39318, CVE-2023-39319 (Cvss 3 심각도 점수: 6.1 중간)

카네코 타케시가 발견한 Go의 취약점 중 하나는 Go의 html/템플릿 모듈과 관련된 것입니다. 이 결함을 통해 공격자는 악성 자바스크립트 코드를 삽입할 수 있으며, 잠재적으로 크로스 사이트 스크립팅 공격으로 이어질 수 있습니다. 특히, 이 문제는 Ubuntu 20.04 LTS, 22.04 LTS, 23.04의 Go 1.20에만 영향을 미칩니다.

 

CVE-2023-39323 (Cvss 3 심각도 점수: 8.1 높음)

또 다른 중요한 문제는 컴파일 중에 "//go:cgo_" 지시문에 대한 적절한 검증이 이루어지지 않는다는 점입니다. 이 취약점을 악용하면 공격자가 컴파일 중에 임의의 코드를 삽입할 수 있어 심각한 보안 위협이 될 수 있습니다.

 

CVE-2023-39325, CVE-2023-44487 (Cvss 3 심각도 점수: 7.5 높음)

HTTP 요청 처리를 담당하는 Go의 net/http 모듈은 핸들러 고루틴을 동시에 실행하는 데 제한이 있는 취약점에 직면했습니다. 공격자는 이 결함을 악용하여 패닉을 일으켜 서비스 거부를 초래할 수 있었습니다.

 

CVE-2023-39326 (Cvss 3 심각도 점수: 5.3 중간)

Go의 net/http 모듈은 요청 또는 응답 본문에서 읽을 때 청크 확장자의 유효성을 제대로 검사하지 못하는 취약점이 발견되었습니다. 이 결함으로 인해 공격자가 민감한 정보를 읽을 수 있는 가능성이 열려 시스템의 무결성이 손상될 수 있습니다.

 

CVE-2023-45285 (Cvss 3 심각도 점수: 7.5 높음)

".git" 접미사가 붙은 모듈을 가져올 때 Go가 안전하지 않은 "git://" 프로토콜을 처리하는 것이 또 다른 잠재적 위험으로 확인되었습니다. 공격자는 이 취약점을 악용하여 보안 프로토콜 검사를 우회하여 시스템의 전반적인 보안에 위협을 가할 수 있습니다.

 

결론

 

특히 끊임없이 진화하는 사이버 보안 환경에서 우분투 시스템의 보안을 유지하는 것은 지속적인 노력입니다. 최근 Go 취약점을 해결하는 보안 업데이트는 경계를 늦추지 않고 신속하게 업데이트를 적용하는 것이 얼마나 중요한지 강조합니다. 우분투 사용자는 최신 정보를 파악하고 선제적으로 대응함으로써 이러한 취약점과 관련된 위험을 완화하고 시스템의 무결성을 보장할 수 있습니다.

이러한 취약점을 패치하려면 시스템을 업데이트한 후 재부팅해야 합니다. 다운타임을 감당할 수 없는 우분투 시스템은 재부팅이 필요 없는 패치 솔루션인 KernelCare Enterprise를 선택할 수 있습니다. KernelCare는 시스템을 재부팅할 필요 없이 시스템에 보안 패치를 자동으로 배포합니다. 이 솔루션은 우분투, RHEL, CentOS, 오라클 리눅스, 알마 리눅스, RHEL, 록키 리눅스 광범위한 리눅스 엔터프라이즈 배포판을 지원합니다.

KernelCare 라이브 패치에 대한 자세한 내용은 이 가이드를 참조하세요.

이 문서의 출처는 USN-6574-1에서 확인할 수 있습니다.

요약
우분투에서 여러 가지 Go 취약점이 수정되었습니다.
기사 이름
우분투에서 여러 가지 Go 취약점이 수정되었습니다.
설명
중요한 Go 취약점을 해결하는 Ubuntu의 최신 보안 업데이트에 대해 알아보세요. 잠재적인 위협으로부터 시스템을 보호하세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기