기술 지원
문서
로그인
문의하기
15년 된 결함에 취약한 62,000개의 오픈 소스 프로젝트를 수정하는 Treliix
2023년 2월 8일 TuxCare 홍보팀
트렐릭스 연구팀은 파이썬 프로그래밍 생태계의 15년 된 경로 탐색 취약점에 취약한 약 62,000개의 오픈 소스 프로젝트에 패치를 적용했다고 합니다.
이 단체는 15년 이상 파이썬 시스템에 존재해 온 CVE-2007-4559 취약점으로 인해 약 35만 개의 오픈 소스 프로젝트가 위험에 처해 있다고 밝혔습니다. AWS, Facebook, Google, Intel에서 개발한 프레임워크에서 광범위하게 발견된 경로 트래버스 취약점은 위협 행위자가 임의의 파일을 덮어쓰도록 허용하여 잠재적으로 디바이스 재정의 및 제어로 이어질 수 있는 잠재력을 가지고 있습니다.
9월에 발견된 이후 트렐릭스는 소프트웨어 개발 플랫폼 GitHub를 통해 61,895개의 프로젝트에 패치를 적용했으며, 이 작업은 카시미르 슐츠와 찰스 맥팔랜드가 주도했습니다.
트렐릭스는 대규모 취약점 수정에 대한 조나단 레이츠추의 DEFCON 2022 강연에서 취약점 패치에 영감을 받았다고 밝혔습니다. 이어서 고급 연구 센터 취약성 팀이 품질 관리를 제외한 대부분의 프로세스를 자동화할 수 있었다고 밝혔습니다. 그리고 프로세스를 패치와 풀 리퀘스트의 두 단계로 나누었는데, 이 두 단계는 모두 자동화되어 실행만 하면 되었습니다.
트렐록스는 "이 과정에서 GitHub는 훌륭한 파트너였습니다."라고 말합니다. "저희 팀은 'import tarfile'이라는 키워드가 포함된 리포지토리 및 파일 목록을 받은 후 스캔할 리포지토리의 고유한 목록을 작성할 수 있었습니다. GitHub에서 실행 가능한 데이터를 신속하게 제공하지 않았다면 이 대규모 작업을 실행할 수 없었을 것입니다."
목록을 받은 후 팀은 개발자가 애플리케이션이 취약한지 확인할 수 있도록 개발한 무료 도구인 Creosote를 사용하여 패치가 필요한 리포지토리를 결정했습니다. 취약한 리포지토리를 식별한 후, 팀은 파일을 패치하고 로컬 패치 차이를 생성하여 사용자가 두 파일을 비교할 수 있도록 했습니다. 그런 다음 팀은 풀 리퀘스트 단계로 이동하여 먼저 로컬 패치 차이점 목록을 검토한 다음 GitHub에서 리포지토리를 포크했습니다. 포크 복제 후 원본 파일이 변경되지 않은 경우 패치된 파일로 대체했습니다.
취약한 타파일 모듈은 기본 파이썬 패키지에 포함되어 있으며 일반적인 문제에 대해 쉽게 사용할 수 있는 솔루션이지만, 파이썬에서 직접 수정하지 않는 한 많은 프로젝트의 공급망에 단단히 내장되어 있습니다.
이 글의 출처는 SCmagazine의 기사입니다.
