ClickCease 우분투에서 해결된 7가지 PHPmailer 취약점

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

우분투에서 해결된 7가지 PHPmailer 취약점

로한 티말시나

2024년 3월 13일 TuxCare 전문가 팀

웹 개발 영역에서는 애플리케이션의 보안을 유지하는 것이 매우 중요합니다. 최근 우분투 보안팀은 PHP에서 널리 사용되는 이메일 전송 클래스인 PHPMailer의 여러 취약점을 해결했습니다. 이러한 취약점은 잠재적으로 크로스 사이트 스크립팅(XSS) 및 임의 코드 실행을 포함한 악의적인 공격의 문을 열어줄 수 있습니다. 이러한 취약점의 세부 사항과 이를 해결하기 위해 취한 조치에 대해 자세히 알아보세요.

 

PHPmailer 취약점 개요

 

CVE-2016-10033, CVE-2016-10045

다위드 골룬스키는 시스템 셸에서 실행되는 함수의 인수로 사용되는 사용자 입력 데이터의 부적절한 처리로 인해 PHPMailer가 임의 코드 실행에 취약하다는 사실을 발견했습니다. 이 문제는 Ubuntu 16.04 ESM에만 영향을 미쳤지만 잠재적인 영향은 상당했습니다.

 

CVE-2017-11503

이 취약점은 code_generator.php 예제 코드의 특정 필드에 있는 이스케이프 문자에서 발견된 것으로, 크로스 사이트 스크립팅(XSS) 공격의 길을 열어주는 취약점이었습니다. 이 문제는 우분투 16.04와 우분투 18.04에서만 수정되었습니다.

 

CVE-2017-5223

용샹 리의 발견은 PHPMailer가 메시지에 파일을 첨부할 때 사용자 입력으로 제공되는 상대 경로를 적절하게 변환하지 못한다는 점을 강조했습니다. 이 결함을 악용하면 무단 액세스 및 민감한 정보 노출로 이어질 수 있으며, Ubuntu 16.04 ESM에만 영향을 미칩니다.

 

CVE-2018-19296

오세훈의 발견은 신뢰할 수 없는 비로컬 파일 첨부파일을 처리하는 PHPmailer의 부적절함을 지적한 것으로, 잠재적으로 객체 인젝션과 그에 따른 임의 코드 실행으로 이어질 수 있는 취약점입니다. 다시 말하지만, 이 PHPmailer 취약점은 우분투 16.04에만 영향을 미치며 임의의 코드를 실행하는 데 사용될 수 있습니다.

 

CVE-2020-13625

엘라 랭의 발견은 파일 첨부 파일 이름을 이스케이프 처리하는 PHPMailer의 감독 소홀로 인해 메시지를 처리하는 주체가 잘못 해석할 위험이 있다는 점을 강조했습니다. 우분투 16.04와 우분투 20.04에 영향을 미치는 이 문제는 엄격한 첨부 파일 처리 프로토콜의 중요성을 강조했습니다.

 

CVE-2021-3603

마지막 취약점은 PHPMailer의 유효성 검사 주소 함수에서 콜러블을 처리하는 과정에서 발생한 것으로, 신뢰할 수 없는 코드의 실행 가능성에 대한 우려를 불러일으켰습니다. 우분투 20.04와 우분투 22.04에서 해결된 이 문제는 보안 위협의 진화하는 특성을 강조했습니다.

 

완화 노력

 

이러한 PHPmailer 취약점을 발견하자마자 우분투 보안 팀은 보안 업데이트를 배포하여 신속하게 대응했습니다. 이러한 업데이트는 우분투 22.04 LTS, 우분투 20.04 LTS, 우분투 18.04 ESM 및 우분투 16.04 ESM 릴리스를 대상으로 하여 사용자가 즉시 시스템을 패치하고 관련 위험을 완화할 수 있도록 했습니다. Linux의 취약점이 드러나더라도 적시에 패치를 적용하는 등의 사전 예방 조치는 잠재적인 위협으로부터 디지털 생태계를 보호하는 데 매우 중요합니다.

우분투 16.04우분투 18.04에 대한 보안 업데이트는 우분투 프로에서만 사용할 수 있습니다. 또는 TuxCare의 수명 주기 연장 지원을 활용하여 공급업체 수준의 보안 패치를 받고 수명이 다한 Ubuntu 시스템을 보호할 수 있습니다. 수명 주기 연장 지원을 통해 수명이 다한 Linux 운영 체제의 보안 및 규정 준수를 유지하는 방법을 알아보세요.

 

출처 USN-5956-1

요약
우분투에서 해결된 7가지 PHPmailer 취약점
기사 이름
우분투에서 해결된 7가지 PHPmailer 취약점
설명
XSS 공격 및 임의 코드 실행으로 이어질 수 있는 우분투 릴리스에 영향을 미치는 PHPMailer 취약점에 대해 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기