ClickCease KernelCare로 재부팅하지 않고 CVE-2020-14386 패치 적용 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

KernelCare로 재부팅하지 않고 CVE-2020-14386 패치 적용

2020년 9월 8일 TuxCare 홍보팀

KernelCare-민으로 재부팅하지 않고 CVE-2020-14368 패치 (1)

CVE-2020-14386은 권한이 없는 프로세스에서 루트 권한을 획득하는 데 악용될 수 있는 새로운 Kernel 취약점입니다. 이 취약점은 다음을 포함한 다양한 Linux 배포판에서 4.6보다 최신 Kernel의 메모리를 손상시킵니다: 

  • Ubuntu Bionic (18.04 이상)
  • Debian 9 및 10
  • CentOS 8/RHEL 8

메모리 손상 취약점 정보

메모리 손상은 가장 널리 퍼져 있고 파괴적이며 널리 악용되는 취약점 중 하나입니다.

조지아 공대의 송청유가 연구한 바에 따르면, 이러한 유형의 취약점의 근본 원인은 다음과 같습니다:

  1. 공간 오류: 바운드 검사 누락, 잘못된 바운드 검사, 형식 문자열, 유형 혼동, 정수 오버플로 등.
  2. 시간적 오류: 사용 후 무료, 초기화되지 않은 데이터.

메모리 손상 취약점에는 여러 가지 익스플로잇 기법이 존재합니다:

  • 코드 인젝션(변조) 공격
  • 제어 흐름 하이재킹 공격
  • 데이터 지향 공격
  • 정보 유출
  • 초기화되지 않은 데이터 사용

메모리 안전 위반과 제어 흐름 무결성 공격은 지난 20년 이상 기업 인프라 보안에 대한 대표적인 위협이었습니다. 최근에는 메모리 손상에 대한 보호의 필요성이 더욱 부각되고 있습니다. 

 

식별 방법

5.7 Kernel 소스를 감사하는 동안 Palo Alto Networks의 Or Cohen은 (net/packet/af-packet.c)에서 메모리 손상으로 이어지는 중간 정도의 심각도 취약점(CVE-2020-14386)을 발견했습니다.

이 버그는 tpacker_rcv 함수에서 발생하며, netoff 변수(부호 없는 쇼트)를 계산할 때 po->tp_reserve(부호 없는 int)가 추가되어 netoff를 오버플로하여 작은 값을 얻을 수 있습니다. CAP_NET_RAW 기능이 활성화된 로컬 사용자만 이 취약점을 유발할 수 있습니다.

이 버그는 권한이 없는 프로세스에서 루트 권한을 얻는 데 악용될 수 있으며, Ubuntu 바이오닉(18.04) 이상, 데비안 9, 데비안 10 및 CentOS 8/RHEL 8을 포함한 다양한 Linux 배포판에서 4.6 이상의 Kernel에서 메모리를 손상시킬 수 있습니다.

 

얼마나 유해한가

CAP_NET_RAW 기능이 기본적으로 비활성화되어 있는 경우(모든 RHEL 제품에 해당), 권한 있는 사용자만 이 버그를 트리거할 수 있습니다. 그렇기 때문에 이 취약점은 CVSS v3 기본 점수가 6.7점이며 보통의 영향을 미치는 것으로 평가됩니다.

즉, 익스플로잇하기는 쉽지 않지만 특정 상황에서 리소스의 기밀성, 무결성 또는 가용성이 일부 손상될 수 있습니다.

 

CVE-2020-14386을 완화하는 방법

다음 방법 중 하나를 사용하여 CVE-2020-14386 취약성을 완화할 수 있습니다:

  • 공급업체의 완화 조치 적용

예를 들어, Redhat의 완화 조치는 일반 사용자 및 실행 파일에 대해 CAP_NET_RAW 기능을 비활성화하는 것입니다(해당되는 경우). 

정식 Ubuntu의 완화 방법은 사용자_이름공간을 비활성화하는 것입니다: 

sudo sysctl kernel.unprivileged_userns_clone=0

이 방법은 재부팅할 필요가 없습니다.

  • 사용 가능한 최신 버전이 있으면 Kernel을 최신 버전으로 업데이트합니다.
    가장 간단하지만 가장 쉬운 방법은 서버를 재부팅하고 Kernel을 최신 버전으로 업데이트하는 것입니다.

  • 라이브 패치를 사용하여 보안 패치를 설치합니다.
    KernelCare와 같은 라이브 패치 시스템을 사용하면 서버를 재부팅하지 않고도 필요한 수정 사항이 적용됩니다. 특히 KernelCare 팀은 현재 이 취약점을 해결할 수 있는 패치를 만들고 있습니다. Ubuntu 18.04 이상 버전에 대한 패치는 이번 주에 배포될 예정이며, RHEL 및 데비안 패치는 그 뒤를 따를 예정입니다.

 

KernelCare 패치 릴리스 일정:

  • Ubuntu 18.04 이상 - 14일 월요일 

KernelCare 패치 출시:

  • Proxmox 5 & 6
  • Ubuntu 16.04(Xenial Xerus)
  • Ubuntu 18.04 (Bionic Beaver)
  • Ubuntu 20.04 (초점 포사)

이 블로그 게시물과 트위터Facebook 채널에서 패치가 프로덕션 피드에 추가되는 시점을 가장 먼저 확인하세요.

 

KernelCare가 다른 중요한 취약점을 해결하는 방법에 대해 자세히 알아보세요:

  1. 좀비로드 2: KernelCare 팀이 개발 중입니다!
  2. SWAPGS: KernelCare 패치 출시 예정
  3. 패닉 및 속도 저하를 해결하세요: KernelCare 라이브 패치가 출시되었습니다.
  4. RIDL - 라이브 패치를 적용했다면 막을 수 있었던 또 다른 MDS 공격
  5. 폴아웃 - 좀비로드가 아닌 MDS 사이드 채널 공격
  6. QEMU-KVM vhost/vhost_net 게스트 대 호스트 Kernel 탈출 취약점
  7. CVE-2018-1000199 패치
  8. 인텔 DDIO '넷캣' 취약점

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기