ClickCease 우분투, 심각도가 높은 PostgreSQL 취약점 수정

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

우분투, 심각도가 높은 PostgreSQL 취약점 수정

by 로한 티말시나

2024년 9월 9일 TuxCare 전문가 팀

PostgreSQL은 널리 사용되는 오픈 소스 객체 관계형 SQL 데이터베이스입니다. 하지만 다른 소프트웨어와 마찬가지로 취약점으로부터 자유롭지 않습니다. PostgreSQL 16.4, 15.8, 14.13, 13.16 및 12.20 이전 버전에서 심각도가 높은 새로운 취약점이 발견되었습니다.

Canonical은 이 취약점을 해결하기 위한 보안 업데이트를 우분투 24.04 LTS, 우분투 22.04, LTS 및 우분투 20.04 LTS를 포함한 여러 릴리스에 배포했습니다. 사용자는 최신 패치 버전으로 업데이트할 것을 강력히 권장합니다.

 

PostgreSQL 취약점이란 무엇인가요?

 

PostgreSQL의 pg_dump 유틸리티에서 사용 시간 확인 시간(TOCTOU) 경쟁 조건 취약점이 발견되었습니다. 이 결함으로 인해 개체 생성 권한이 있는 공격자가 수퍼유저로서 임의의 함수를 실행할 수 있습니다. 이 익스플로잇에는 기존 관계 유형을 뷰 또는 외부 테이블로 대체하는 것이 포함됩니다. 공격자는 pg_dump가 시작될 때까지 기다려야 하지만, 공격자가 열린 트랜잭션을 유지하는 경우 경쟁 조건을 악용하는 것은 간단합니다.

사용 시간 확인 사용 시간 확인은 시스템이 리소스(예: 파일 또는 개체)를 확인하는 시간과 실제로 해당 리소스를 사용하는 시간 사이에 간격이 있을 때 발생하는 일종의 경쟁 조건 취약점입니다. 이 간격 동안 공격자는 리소스를 조작하여 상태를 변경함으로써 시스템에서 의도하지 않은 또는 악의적인 동작을 일으킬 수 있습니다.

확인 시간: 시스템에서 권한 또는 유효성과 같은 특정 조건을 확인하여 작업 진행 여부를 결정하는 시기입니다.

사용 시간: 사용 시간: 시스템이 파일 읽기, 쓰기 또는 실행과 같은 작업을 실제로 수행하는 시간입니다.

이 취약점은 이 두 단계가 원자적이지 않기 때문에(즉, 동시에 일어나지 않기 때문에) 발생합니다. 공격자는 검사가 통과한 후 리소스가 사용되기 전에 리소스의 상태를 변경하거나 다른 리소스로 교체함으로써 이 간극을 악용할 수 있습니다.

 

사용 가능한 업데이트

 

영향을 받는 PostgreSQL 버전을 실행 중인 경우 가능한 한 빨리 최신 버전으로 업데이트하는 것이 중요합니다. Canonical은 이 취약점을 해결하기 위한 보안 업데이트를 우분투 24.04 LTS, 우분투 22.04, LTS, 우분투 20.04 LTS 등 여러 릴리스에 배포했습니다. 우분투 사용자는 PostgreSQL APT 리포지토리에서 업데이트를 찾아 최신 버전을 받을 수 있습니다.

데비안 보안팀은 데비안 11과 데비안 12에 대한 보안 업데이트도 제공했습니다.

 

이전 Linux 버전에서 PostgreSQL 취약점 패치하기

 

PostgreSQL 취약점(CVE-2024-7348)은 보안 수정을 포함한 공식 업데이트를 더 이상 받지 않는 CentOS 7, Ubuntu 16.04 및 Ubuntu 18.04 시스템에도 영향을 미칩니다. 이러한 버전은 이미 수명 종료(EOL)에 도달한 오래된 버전입니다. 그러나 운영상의 제약이나 레거시 소프트웨어로 인해 일부 사용자 및 조직에서 여전히 사용되고 있습니다.

이러한 구형 Linux 배포판을 사용하는 사용자 및 조직은 TuxCare의 수명 주기 연장 지원을 활용하여 공식 지원 종료일 이후 최대 5년 동안 보안 업데이트를 계속 받을 수 있습니다. 이 서비스는 Linux 커널, glibc, OpenSSL, PostgreSQL, Python, OpenJDK 등을 포함한 140개 이상의 패키지에 대한 패치를 제공합니다.

ELS 팀은 최근 CentOS 7, Ubuntu 16.04 및 Ubuntu 18.04에서 위 취약점에 대한 패치를 배포했습니다. 모든 취약점에 대한 패치 상태는 CVE 트래커에서 추적할 수 있습니다.

 

출처: USN-6968-1

요약
우분투, 심각도가 높은 PostgreSQL 취약점 수정
기사 이름
우분투, 심각도가 높은 PostgreSQL 취약점 수정
설명
최근 발생한 PostgreSQL의 권한 상승 취약점과 필수 업데이트를 통해 Linux 시스템을 보호하는 방법에 대해 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기