ClickCease 우분투에서 수정된 최신 파이썬 취약점

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

우분투에서 수정된 최신 파이썬 취약점

by 로한 티말시나

2024년 9월 30일 TuxCare 전문가 팀

Python의 여러 취약점이 확인되어 패치가 적용되었으며, Ubuntu 24.04 LTS, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS 등 여러 Ubuntu 릴리스에 대한 업데이트가 제공되고 있습니다. 이러한 취약점은 서비스 거부(DoS) 및 보호 메커니즘 우회 기능 등 심각한 보안 위험을 초래할 수 있습니다.

이 글에서는 최신 Python 취약점과 이러한 취약점이 시스템에 미치는 영향, 그리고 환경을 보호하기 위해 취할 수 있는 조치에 대해 살펴봅니다.

 

파이썬 취약점 상세 정보

 

CVE-2023-27043

Python 3.11.3까지의 버전에서는 이메일 모듈이 특수 문자가 포함된 이메일 주소를 잘못 구문 분석합니다. 이로 인해 RFC2822 헤더의 잘못된 부분이 addr-spec 값을 설정합니다. 결과적으로 공격자는 특정 도메인에 대한 이메일 확인을 기반으로 액세스를 허용하는 애플리케이션의 보안 메커니즘을 우회할 수 있습니다(예: 다음 주소의 주소만 허용). @company.example.com 가입을 위해). 이 취약점은 email/_parseaddr.py 파일은 최신 파이썬 버전에서 사용할 수 있습니다.

 

CVE-2024-6232

에서 사용되는 정규 표현식이 사용되는 CPython에서 중간 심각도 취약점이 발견되었습니다. tarfile.TarFile 헤더 파싱은 과도한 역추적을 허용합니다. 이로 인해 모듈은 특수하게 조작된 타르 아카이브를 통한 정규 표현식 서비스 거부(ReDoS) 공격에 취약해집니다.

 

CVE-2024-6923

CPython의 이메일 모듈에서 중간 심각도 취약점이 발견되었습니다. 이메일 메시지를 직렬화할 때 모듈이 이메일 헤더에서 개행 줄 바꿈을 제대로 인용하지 않아 헤더 삽입 공격이 발생할 수 있는 취약점이 발견되었습니다. 헤더 인젝션은 이메일 헤더 필드를 무단으로 수정하거나 삽입할 수 있는 기술로, 스푸핑 또는 피싱과 같은 악의적인 활동을 유발할 수 있습니다.

 

CVE-2024-7592

CPython의 http.cookies 표준 라이브러리 모듈에는 또 다른 취약점이 존재합니다. 따옴표로 묶인 값에 백슬래시가 있는 쿠키를 구문 분석할 때 구문 분석기는 과도한 CPU 사용량과 잠재적인 서비스 거부(DoS) 공격으로 이어질 수 있는 4차원적 복잡성을 경험할 수 있습니다.

 

CVE-2024-8088

이 취약점은 CPython zipfile 모듈의 zipfile.Path 클래스에서 발견되었습니다. 더 일반적으로 사용되는 zipfile.ZipFile 클래스는 영향을 받지 않으며, 악의적으로 조작된 zip 아카이브의 항목 이름을 반복합니다( namelist(), iterdir()등)가 무한 반복될 수 있습니다. 이 취약점은 메타데이터 읽기와 콘텐츠 추출 모두에 영향을 미치며, 잠재적으로 서비스 거부(DoS) 공격을 일으킬 수 있습니다. 사용자가 제어하는 zip 아카이브를 처리하지 않는 프로그램은 위험에 노출되지 않습니다.

 

시스템을 보호하는 방법

 

이러한 취약점으로부터 시스템을 보호하려면 Python 패키지를 즉시 업데이트하는 것이 중요합니다. Canonical은 이미 지원되는 우분투 버전에서 이러한 보안 결함을 해결하기 위한 패치를 배포했습니다.

우분투 사용자는 apt 패키지 관리자를 사용하여 최신 보안 패치를 쉽게 적용할 수 있습니다. 다음 명령을 실행하면 가장 안전한 버전의 Python으로 업그레이드하는 데 도움이 됩니다:

sudo apt update

sudo apt upgrade python3

업데이트 후 실행하여 설치된 Python 버전을 확인해야 합니다:

python3 --version

 

수명 주기 연장 지원(ELS) 고려하기

 

조직에서 Ubuntu 16.04 또는 Ubuntu 18.04와 같은 EOL(수명 종료) Ubuntu 버전을 실행 중인 경우에도 선택의 여지가 없습니다. TuxCare의 ELS(확장 수명 주기 지원)는 이러한 버전에 대한 중요한 보안 업데이트를 제공하여 위에서 언급한 것과 같은 취약점으로부터 보호받을 수 있도록 합니다.

TuxCare의 ELS는 Python, Linux 커널, OpenSSL, glibc 등 140개 이상의 패키지에 대해 EOL 날짜 이후 5년간 공급업체 수준의 보안 패치를 제공합니다. 이 서비스는 시스템을 즉시 업그레이드할 수는 없지만 여전히 강력한 보안이 필요한 조직에 매우 유용합니다.

다음을 포함하여 광범위한 Linux 배포판으로 보호 기능을 확장합니다:

연장 지원을 활용하면 공식 EOL 날짜 이후에도 기업에서 Linux 환경의 보안을 유지할 수 있습니다. 이는 운영에 중요하지만 아직 주요 업그레이드를 할 준비가 되지 않은 레거시 시스템을 운영하는 조직에 특히 중요합니다.

 

출처: USN-7015-1

요약
우분투에서 수정된 최신 파이썬 취약점
기사 이름
우분투에서 수정된 최신 파이썬 취약점
설명
최신 Python 취약점을 살펴보고 보안 업데이트와 확장된 수명 주기 지원을 통해 Linux 시스템을 보호하는 방법을 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기