ClickCease CVE-2021-22922 및 CVE-2021-22923 테스트 | tuxcare.com

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

CVE-2021-22922 및 CVE-2021-22923 테스트 / Lifecycle 연장 지원

2021년 7월 26일 TuxCare 홍보팀

Lifecycle 연장 지원이 적용되는 Linux 배포판에 영향을 미칠 수 있는 모든 CVE를 테스트하는 추세를 이어가면서 팀은 CVE-2021-22922CVE-2021-22923에 대한 작업을 진행했습니다.

이러한 취약점은 수년 동안 다양한 애플리케이션과 배포판에 구성 요소로 포함되어 있으며 훌륭하고 유용한 데이터 전송 도구로 사용되어 온 소프트웨어인 curl에 영향을 미칩니다. 다양한 프로토콜, 암호화 메커니즘 및 아키텍처를 지원하며, 이러한 다재다능함 덕분에 지구 밖에서도 사용되는 것으로도 유명합니다. 화성 탐사선에 탑재된 소프트웨어 스택의 일부이기도 합니다.

그러나 이러한 홍보는 보안 연구자들의 관심을 끌기도 한 것 같습니다. 수십 년 동안 사용되어 왔고 지금까지 올바른 것으로 간주되어 온 아주 오래된 코드에서 컬에 대한 새로운 취약점이 발견되고 있기 때문입니다. 이번 주에 또 다른 취약점이 공개되었는데, 20년이 넘은 코드에 존재하는 취약점이었습니다. IT 업계에서는 오늘날 거리를 돌아다니는 살아있는 공룡을 발견한 것과 같습니다.

CVE-2021-22922와 CVE-2021-22923을 살펴보면, 이 두 취약점은 curl에 포함된 옵션인 "-metalink"와 관련이 있습니다. 이 기능을 사용하면 서버가 클라이언트(이 경우 curl)에 특정 콘텐츠를 찾을 수 있는 대체 위치를 알려줄 수 있습니다. 예를 들어, 클라이언트와 지리적으로 더 가까운 미러를 투명하게 가리킴으로써 콘텐츠 배포를 용이하게 할 수 있습니다.

CVE-2021-22922의 경우, 특정 파일의 미러가 손상되어 파일의 콘텐츠가 다른 것으로 대체된 경우, 더 이상 메탈링크 목록에 있는 콘텐츠의 해시와 일치하지 않더라도 curl이 변조된 파일을 다운로드하는 것으로 밝혀졌습니다. 따라서 이 결함으로 인해 사용자가 인지하지 못한 채 악성 콘텐츠가 다운로드될 수 있습니다.

CVE-2021-22923은 원본 메탈링크 정보를 다운로드하는 데 사용된 자격 증명이 실수로 미러 서버로 잘못 전송될 수 있는 취약점에 대해 설명합니다. 이로 인해 해당 자격 증명이 무단으로 공개될 수 있습니다.

두 취약점 모두 현재 공개 익스플로잇 코드가 있는 것으로 알려져 있지 않습니다.

또한 TuxCare 팀은 Lifecycle 연장 지원에 따라 지원되는 시스템에 포함된 curl 버전은 이러한 취약점의 영향을 받지 않으므로 특별히 이를 해결하기 위한 패치가 필요하지 않다고 판단했습니다. EL6의 curl에는 이 옵션이 없으며 Ubuntu에서는 기본적으로 비활성화되어 있습니다.

Lifecycle 연장 지원 또는 기타 TuxCare 서비스에 대해 자세히 알고 싶으시면 여기에서 자세한 정보를 확인할 수 있습니다.

TuxCare 팀은 모든 취약점을 지속적으로 테스트하여 사용자가 비즈니스 요구 사항에 집중할 수 있도록 Linux의 보안을 관리합니다.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기