최근에 공개된 여러 Apache 취약점 패치 적용
이달 초에 또 다른 취약점 세트가 공개되었는데, 이번에는 Apache 코드에 대한 취약점이었습니다. apache는 (대부분의) 인터넷에서 사실상의 웹 서버로 오랫동안 사용되어 왔기 때문에, 영향이 크지 않은 취약점이라도 영향을 미치면 광범위한 영향을 미칠 수 있습니다.
영향을 받는 apache 버전은 2.4.0 버전(공개된 4개의 취약점 중 하나는 2.4.39 버전부터 영향을 받기 시작함)부터 2.4.46 버전까지입니다.
Lifecycle 연장 지원으로 보호되는 시스템에는 이미 패치가 제공되고 있습니다.
취약점을 자세히 살펴보겠습니다. 첫 번째 취약점은 CVE-2020-35452로, 영향이 크지 않은 mod_auth_digest 잠재적 스택 오버플로입니다. 설명에 따르면 이 취약점은 실제로 코드에서 발견되었지만, apache 코드를 컴파일할 때 특별한 컴파일러 플래그 설정을 사용하지 않으면 트리거되기 어렵다고 합니다. 하지만 이제 문제가 공개되었고 악의적인 공격자들이 이 문제를 악용할 방법을 찾으려는 것은 의심할 여지가 없습니다. 이전의 스택 오버플로 취약점을 떠올리면, 익스플로잇에 성공한 취약점을 임의의 코드 실행으로 변환하는 것은 흔한 일입니다.
다음으로, CVE-2021-26690은 또 다른 영향력이 낮은 취약점으로, 이번에는 mod_session에서 NULL 포인터 역참조로 인해 apache가 충돌하고 서비스 거부가 발생할 수 있습니다. 내부적으로 TuxCare 팀은 이 취약점이 영향력이 낮은 취약점이 아니라 최소한 중간 정도의 위험성이 있는 취약점이라고 판단했습니다. 이 결함을 테스트하기 위해 개념 증명이 개발되었고, 이 취약점은 Apache 자식 프로세스를 안정적으로 중단시켰습니다. 이 취약점이 발견된 시점이 얼마 되지 않았기 때문에 공식 CVE 기록에서 심각도가 곧 상향될 가능성이 있습니다.
mod_session에 영향을 미치는 또 다른 영향이 적은 취약점인 CVE-2021-26691은 apache가 PHP와 같은 백엔드 요청 프로세서와 통신할 때 응답이 처리되는 방식에 문제가 있는 취약점입니다. 이 취약점이 악용될 경우 힙 오버플로와 정보 유출로 이어질 수 있습니다. apache와 백엔드 간에 통신이 이루어지는 방식 때문에 쉽게 악용할 수 없으며, 공격자가 이런 방식으로 apache를 공격할 수 있는 위치에 있다면 이미 가지고 있는 공격 방법보다 더 복잡한 방법이 될 수 있습니다.
이번 배치의 마지막 문제는 중간 정도의 영향을 미치는 취약점인 CVE-2021-30641로, 구성에서 'MergeSlashes OFF'를 사용할 때 예기치 않은 URL 매칭으로 인해 발생합니다. 아직 자세한 내용은 알려지지 않았지만, 언급된 기능으로 인해 특수하게 조작된 URL을 통해 보안 검사를 우회할 수 있는 가능성이 있습니다. 공식 보고서에는 Ubuntu가 이 기능에 취약하다고 언급되어 있지 않지만, 내부 테스트 결과 실제로 취약한 것으로 밝혀져 해당 시스템에 대한 패치도 제공되었습니다.
Apache가 아닌 nginx를 실행하는 경우, 혹시 놓치셨을 경우를 대비해 지난달 말 취약점이 공개되어 TuxCare 팀에서 수정했습니다. 여기에서 자세히 알아보세요.
언제나 그렇듯이 TuxCare 팀은 모든 취약점을 테스트하므로 사용자가 직접 테스트할 필요가 없습니다. 이미 Lifecycle 연장 지원 서비스 구독자라면 영향을 받는 시스템에 대한 패치가 이미 제공되어 있습니다. 서비스에 대한 자세한 정보를 찾고 계신다면 여기에서 확인할 수 있습니다.