ClickCease Ubuntu 16.04에서 수정된 여러 Cobbler 취약점

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

Ubuntu 16.04에서 수정된 여러 Cobbler 취약점

by 로한 티말시나

2023년 11월 29일 TuxCare 전문가 팀

최근 보안 업데이트에서 Ubuntu 16.04 ESM의 일련의 Cobbler 취약점이 해결되었습니다. Ubuntu 16.04 ESM(Expanded Security Maintenance)은 종료 날짜 이후의 추가 보안 패치가 포함된 수명 종료 Ubuntu 16.04 LTS의 확장 버전입니다. ESM 버전은 보안 패치에 상대적으로 비용이 많이 드는 Ubuntu Pro 구독을 통해 사용할 수 있습니다.

또는 수명 종료 후 5년 동안 공급업체급 보안 패치를 제공하는 저렴한 옵션인 TuxCare의 Extended Lifecycle Support를 사용할 수 있습니다.

취약성은 각각의 CVE(Common Vulnerabilities and Exposures) 식별자와 함께 아래에 요약되어 있습니다.

 

Ubuntu 16.04 ESM에서 해결된 Cobbler 취약점

 

CVE-2014-3225 (영문)

Cobbler는 사용자 입력을 잘못 처리하여 잠재적으로 절대 경로 순회로 이어지는 것으로 밝혀졌습니다. 이 취약점은 공격자가 임의 파일을 읽기 위해 악용할 수 있습니다.

 

CVE-2017-1000469, CVE-2021-45082

Cobbler가 사용자 입력을 부적절하게 처리하면 명령이 삽입되어 공격자가 상승된 권한으로 임의의 코드를 실행할 수 있습니다.

 

CVE-2018-10931, CVE-2018-1000225, CVE-2018-1000226

Cobbler는 클래스에서 개인 함수를 적절하게 숨기지 않아 원격 공격자가 높은 권한을 얻고 파일을 임의의 위치에 업로드할 위험이 있었습니다.

 

CVE-2021-40323, CVE-2021-40324, CVE-2021-40325

Cobbler에서 사용자 입력을 잘못 처리하면 로그 중독이 발생할 수 있습니다. 원격 공격자는 이를 악용하여 권한 부여를 우회하거나, 임의의 파일에 쓰거나, 임의의 코드를 실행할 수 있습니다.

 

CVE-2021-45083 (영문)

Cobbler는 패키지 설치 또는 업데이트 작업 중에 파일 권한을 올바르게 처리하지 못하여 공격자가 권한 상승 공격을 수행할 수 있습니다.

 

CVE-2022-0860 (영문)

Cobbler는 만료된 계정에 대한 자격 증명을 처리하는 데 문제가 있는 것으로 밝혀져 공격자가 만료된 계정이나 암호로 로그인할 수 있는 기회를 제공했습니다.

 

결론

 

이러한 취약성을 해결하려면 Cobbler 패키지를 최신 버전으로 업데이트하는 것이 좋습니다. 필요한 변경 사항을 구현하려면 표준 시스템 업데이트가 필요합니다.

접촉 TuxCare Linux 보안 전문가가 연장된 수명 주기 지원을 시작하고 Ubuntu 16.04 서버를 보호합니다.

 

이 기사의 출처는 USN-6475-1에서 찾을 수 있습니다.

요약
Ubuntu 16.04에서 수정된 여러 Cobbler 취약점
기사 이름
Ubuntu 16.04에서 수정된 여러 Cobbler 취약점
설명
Ubuntu 16.04에서 중요한 Cobbler 취약점을 발견하고 수정합니다. 경로 통과, 명령 삽입 및 기타 문제에 대해 알아봅니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!