우분투, 몇 가지 파이썬 취약점 해결
널리 사용되는 프로그래밍 언어인 Python은 많은 애플리케이션과 시스템에 필수적인 요소입니다. 그러나 다른 소프트웨어와 마찬가지로 심각한 보안 위험을 초래하는 취약점이 있을 수 있습니다. 최근 Canonical은 Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04, 16.04, 14.04 ESM 등 다양한 Ubuntu 릴리스에서 Python 패키지의 41개 취약점을 해결했습니다. 이 문서에서는 수정된 심각도가 높은 Python 취약점 몇 가지를 살펴보고 보안을 유지하는 방법에 대한 지침을 제공합니다.
우분투에서 수정된 파이썬 취약점
CVE-2021-29921 (CVSS v3 점수: 9.8 심각)
8진수 문자열을 잘못 처리하는 파이썬 표준 라이브러리의 ipaddress API에서 심각한 취약점이 발견되었습니다. 원격 공격자는 이 문제를 악용하여 특정 액세스 제어를 우회하고 광범위한 공격을 수행할 수 있습니다. 이 문제는 우분투 18.04에만 영향을 미쳤습니다.
CVE-2022-0391 (CVSS v3 점수: 7.5 높음)
이 취약점은 파이썬이 특정 입력을 부적절하게 처리하는 것과 관련이 있습니다. 공격자는 이 결함을 통해 잠재적으로 임의의 코드를 실행할 수 있습니다. 우분투 14.04 및 우분투 18.04 릴리스에만 영향을 미쳤습니다.
CVE-2023-24329 (CVSS v3 점수: 7.5 높음)
파이썬이 특정 입력을 잘못 처리하는 것과 관련된 또 다른 취약점이 발견되었습니다. 사용자 또는 자동화된 시스템이 특수하게 조작된 입력을 실행하는 경우 원격 공격자가 이 취약점을 악용하여 서비스 거부를 일으킬 수 있습니다. 이 취약점은 우분투 14.04, 우분투 18.04, 우분투 22.04 LTS에 영향을 미쳤습니다.
CVE-2022-48565 (CVSS v3 점수: 9.8 심각)
이 취약점은 파이썬이 plist 파일의 XML 엔티티 선언을 부적절하게 처리하기 때문에 발생했습니다. 공격자는 이 결함을 사용하여 XML 외부 엔티티(XXE) 인젝션을 수행하여 서비스 거부 또는 정보 유출로 이어질 수 있습니다. 이 문제는 우분투 14.04와 우분투 18.04에만 영향을 미쳤습니다.
CVE-2023-6597 (CVSS v3 점수: 7.8 높음)
이 취약점은 파이썬이 임시 파일에서 심볼릭 링크를 잘못 처리하는 것과 관련이 있습니다. 공격자는 이 문제를 악용하여 파일 권한을 수정할 수 있습니다. 이 결함은 우분투 18.04, 우분투 20.04 LTS, 우분투 22.04 LTS 및 우분투 23.10에 영향을 미쳤습니다.
수정된 다른 파이썬 취약점에 대해 알아보려면 이 우분투 보안 공지사항을 참조하세요.
우분투 시스템 보호
이러한 취약점의 심각성을 고려할 때, 파이썬 설치를 즉시 최신 패치 버전으로 업데이트하는 것이 중요합니다. 업데이트하지 않으면 시스템이 잠재적인 악용에 노출되어 보안이 손상될 수 있습니다. 지원되는 우분투 릴리스의 경우 apt 패키지 관리자를 사용하여 Python 패키지를 업데이트할 수 있습니다.
수명이 다한 우분투 시스템의 경우, 보안 업데이트는 우분투 프로 구독을 통해서만 제공됩니다. 하지만 TuxCare의 ELS(수명 주기 연장 지원) 는 경제적인 대안을 제공합니다. 이 서비스는 Ubuntu 16.04 및 18.04에 대해 수명 종료일 이후에도 5년 동안 추가로 보안 패치를 제공합니다. ELS는 Linux 커널, 일반적인 공유 라이브러리(예: glibc 및 OpenSSL), Python 및 PHP를 비롯한 프로그래밍 언어, 기타 다양한 패키지를 포함합니다.
이 페이지에서 연장 수명 주기 지원에서 지원되는 패키지 목록을 확인할 수 있습니다. 또한 CVE 트래커를 사용하여 여러 Ubuntu 릴리스에서 취약점에 대한 패치의 릴리스 상태를 추적할 수 있습니다.
최신 정보를 얻고 소프트웨어를 최신 상태로 유지하면 중요한 취약점으로부터 시스템을 보호하고 더욱 안전한 컴퓨팅 환경을 유지할 수 있습니다.
Sorce: USN-6891-1