ClickCease 모든 취약점을 테스트하여 걱정할 필요 없음 |tuxcare.com

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

TuxCare - 모든 취약점을 테스트하여 다음과 같은 작업을 수행할 필요가 없도록 합니다.

2021년 5월 26일 TuxCare 홍보팀

TuxCare의 일환으로, 당사는 지원하는 모든 배포판과 제품에 대해 모든 새로운 취약점을 분석하고 테스트합니다. 오늘 curl/libcurl 코드에 영향을 미치는 두 가지 새로운 취약점이 공개되었으며, 이는 Lifecycle 연장 지원에서 다루고 있는 사항이므로 이 라이브러리에 대해 테스트를 실행했습니다.

수많은 테스트를 수행한 결과, 트위터에서 지원하는 단종 Linux 시스템 중 어느 것도 이러한 결함의 영향을 받지 않는다는 사실을 발견했습니다. 따라서 Centos 6, Oracle Linux 6, CloudLinux 6 또는 Ubuntu 16을 사용하는 경우 이러한 취약점의 영향을 받지 않으므로 안심하셔도 됩니다.

Libcurl, 그리고 더 확장하여 libcurl 기능을 구현하는 유저랜드 소프트웨어인 curl은 여러 프로토콜을 지원하는 파일 전송 도구입니다. 이 소프트웨어는 공개되어 있지 않더라도 타사 소프트웨어와 함께 번들로 제공되는 경우가 많습니다. 지구 밖에서도 널리 사용되고 있으며, 현재 화성의 탐사 로버에서 이미지를 지구로 전송하는 데이터 전송 프로세스의 일부로 사용되고 있을 정도로 보편적으로 사용되고 있습니다. 좀 더 현실적인 수준에서는 최종 사용자가 브라우저에서 웹 페이지를 열거나 선호하는 이메일 클라이언트에서 이메일을 열 때마다 자신도 모르게 사용됩니다.

방금 공개된 두 가지 취약점, CVE-2021-22898과 CVE-2021-22901은 서로 다른 방식으로 libcurl에 영향을 미칩니다. 첫 번째 취약점은 2001년 3월 22일에 코드 변경을 통해 도입된 20년 된 코드에서 발견되어 더 이상 놀랍지 않습니다. 두 번째는 2021년 2월에 더 최근에 도입되었습니다.

CVE-2021-22898을 자세히 살펴보면, 이 취약점은 curl이 "-t" 명령으로 노출하는 "CURLOPT_TELNETOPTIONS" 변수를 구문 분석하는 방식에 존재하는 결함입니다. 이 결함을 악용하여 텔넷 서버에 연결할 때 특수하게 조작된 매개 변수를 통해 데이터를 유출할 수 있습니다.

간단한 개념 증명 명령줄은 다음과 같습니다:

 

     curl telnet://example.com -tNEW_ENV=a,bbbbbb (256 'b's)

현재 공개 익스플로잇 코드의 존재에 대한 증거는 없습니다. 또한 오늘날 텔넷 서버는 비교적 드물기 때문에 야생에서 익스플로잇하기는 다소 어려울 것입니다.

CVE-2021-22901의 경우, 이 취약점은 OpenSSL 지원(또는 그 포크 중 하나, 예를 들어 boringssl 또는 libressl)으로 컴파일될 때 libcurl(그리고 더 나아가 curl)에 영향을 줍니다. 이 취약점은 이론적으로 이미 폐기될 수 있는 시점에 libcurl이 연결을 재사용하는 방식의 취약점으로, 일반적으로 "사용자 애프터 프리"라고 불리는 취약점을 초래합니다.

이 기능이 작동하려면 매우 특정한 일련의 이벤트가 정확하게 올바른 순서로 발생해야 하며, 놀랍게도 서버가 취약한 당사자가 아니라 악의적인 서버에 의해 손상될 수 있는 것은 실제로 클라이언트라는 점이 흥미롭습니다.

이 익스플로잇은 libcurl이 세션 ID 캐싱을 사용하여 여러 요청에 재사용하고 요청 사이에 연결을 해제하는 상황에서 발생할 수 있습니다.

두 가지 취약점 모두 현재 Lifecycle 연장 구독자에게 배포된 curl/libcurl 코드에는 영향을 미치지 않는 것으로 확인되었습니다. 모든 취약점과 마찬가지로 TuxCare는 시스템의 보안을 보장하기 위해 테스트 및 보안 노하우를 지속적으로 제공할 것입니다.

지원되지 않는 지원 종료 Linux 배포판을 실행할 때의 위험에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

 아직 저희 제품을 구독하지 않으셨다면, 이번 기회에 저희 엔지니어와 상담하고 TuxCare가 시스템 관리 작업을 처리하고 보안 관행을 개선하는 방법을 알아볼 수 있는 좋은 기회입니다. 여기에서 서비스에 대해 자세히 알아보세요.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기