리눅스 커널의 여러 경쟁 조건 취약점 수정
경쟁 조건 취약점은 일반적으로 여러 프로세스 또는 스레드가 적절한 동기화 없이 공유 리소스에 액세스하는 동시 또는 다중 스레드 프로그램에서 발생합니다. 이로 인해 데이터 손상, 시스템 충돌 또는 무단 액세스와 같은 예측할 수 없는 결과가 발생할 수 있습니다. 최근 Linux 커널에서는 경쟁 조건 및 널 포인터 역참조 취약성을 비롯한 여러 보안 문제가 해결되었습니다.
리눅스 커널 경쟁 조건 취약점
KSMBD 구현의 경쟁 조건
쿠엔틴 미니스터에 의해 여러 취약점이 발견되어 KSMBD 구현 내에서 경쟁 조건이 드러났습니다. 이 결함은 원격 공격자가 악용하여 서비스 거부를 유발하거나 임의의 코드를 실행할 수 있어 시스템 안정성과 보안에 심각한 위협이 될 수 있습니다. 할당된 CVE 번호는 CVE-2023-32250, CVE-2023-32252 및 CVE-2023-32257입니다.
Renesas 이더넷 AVB 드라이버에서 사용 후 무료(CVE-2023-35827)
Cvss 3 심각도 점수: 7.0
Zheng Wang에 의해 밝혀진 또 다른 취약점은 장치 제거 중 Renesas 이더넷 AVB 드라이버의 사용 후 무료 취약점이 노출되었습니다. 권한 있는 액세스 권한을 가진 공격자가 이를 이용해 서비스 거부(시스템 충돌)를 일으킬 수 있습니다.
SEV 구현의 경쟁 조건(CVE-2023-46813)
Cvss 3 심각도 점수: 7.0
톰 도르만의 발견은 AMD 프로세서용 보안 암호 가상화(SEV) 구현 내의 경쟁 조건 취약성을 밝혀냈습니다. SEV 게스트 VM에 존재하는 이 문제는 로컬 공격자가 시스템 충돌을 일으키거나 임의의 코드를 실행할 수 있게 합니다.
마이크로칩 USB 이더넷 드라이버의 경쟁 조건(CVE-2023-6039)
Cvss 3 심각도 점수: 5.5
Microchip USB 이더넷 드라이버에서 장치 제거 중 경쟁 조건이 발견되어 잠재적으로 사용 가능한 결함을 초래할 수 있습니다. 물리적으로 근접한 공격자가 이 문제를 사용하여 서비스 거부를 일으킬 수 있습니다.
CVE-2023-6531 (Cvss 3 심각도 점수: 7.0)
Jann Horn은 경쟁 조건에 의해 트리거되는 유즈 애프터 프리 취약점을 확인했습니다. 구체적으로, 이 취약점은 unix 가비지 수집기가 관련 소켓에서 unix_stream_read_generic() 함수 실행과 동시에 소켓 버퍼(SKB)를 삭제하려고 시도할 때 발생하며, 이로 인해 악용될 가능성이 있습니다.
TLS 하위 시스템 취약점(CVE-2023-6176)
Cvss 3 심각도 점수: 4.7
특정 조건에서 암호화 작업의 단점을 강조하는 TLS 하위 시스템 내 취약점이 발견되었습니다. 널 포인터 역참조를 초래하는 이 결함은 로컬 공격자가 악용하여 시스템 충돌을 일으키거나 임의의 코드를 실행할 수 있습니다.
모든 수정된 취약점에 대한 자세한 내용은 Ubuntu 보안 공지 및 Debian 보안 권고에서 확인하세요.
결론
이러한 경쟁 조건 취약점의 발견과 그에 따른 완화 조치는 시스템 보안을 유지하기 위한 Linux 커뮤니티 내의 협력적인 노력을 강조합니다. 잠재적인 익스플로잇으로부터 보호하려면 적시에 업데이트하는 것이 중요하며, 사용자는 즉시 패치를 적용해야 합니다.
TuxCare의 KernelCare Enterprise는 Linux 커널에 대한 재부팅 없는 패치를 제공하므로 시스템을 재시작하거나 유지 관리 기간을 예약할 필요가 없습니다. 또한 모든 보안 패치는 사용 가능한 즉시 자동으로 배포됩니다. KernelCare 라이브 패치를 사용하면 새로운 위협에 대해 Linux 에코시스템의 복원력을 강화할 수 있습니다.
KernelCare Enterprise에서 라이브 패치가 어떻게 작동하는지 알아보세요.
출처: USN-6626-1