우분투, 심각도가 높은 PostgreSQL 취약점 수정
PostgreSQL은 널리 사용되는 오픈 소스 객체 관계형 SQL 데이터베이스입니다. 하지만 다른 소프트웨어와 마찬가지로 취약점으로부터 자유롭지 않습니다. PostgreSQL 16.4, 15.8, 14.13, 13.16 및 12.20 이전 버전에서 심각도가 높은 새로운 취약점이 발견되었습니다.
Canonical은 이 취약점을 해결하기 위한 보안 업데이트를 우분투 24.04 LTS, 우분투 22.04, LTS 및 우분투 20.04 LTS를 포함한 여러 릴리스에 배포했습니다. 사용자는 최신 패치 버전으로 업데이트할 것을 강력히 권장합니다.
PostgreSQL 취약점이란 무엇인가요?
PostgreSQL의 pg_dump 유틸리티에서 사용 시간 확인 시간(TOCTOU) 경쟁 조건 취약점이 발견되었습니다. 이 결함으로 인해 개체 생성 권한이 있는 공격자가 수퍼유저로서 임의의 함수를 실행할 수 있습니다. 이 익스플로잇에는 기존 관계 유형을 뷰 또는 외부 테이블로 대체하는 것이 포함됩니다. 공격자는 pg_dump가 시작될 때까지 기다려야 하지만, 공격자가 열린 트랜잭션을 유지하는 경우 경쟁 조건을 악용하는 것은 간단합니다.
사용 시간 확인 사용 시간 확인은 시스템이 리소스(예: 파일 또는 개체)를 확인하는 시간과 실제로 해당 리소스를 사용하는 시간 사이에 간격이 있을 때 발생하는 일종의 경쟁 조건 취약점입니다. 이 간격 동안 공격자는 리소스를 조작하여 상태를 변경함으로써 시스템에서 의도하지 않은 또는 악의적인 동작을 일으킬 수 있습니다.
확인 시간: 시스템에서 권한 또는 유효성과 같은 특정 조건을 확인하여 작업 진행 여부를 결정하는 시기입니다.
사용 시간: 사용 시간: 시스템이 파일 읽기, 쓰기 또는 실행과 같은 작업을 실제로 수행하는 시간입니다.
이 취약점은 이 두 단계가 원자적이지 않기 때문에(즉, 동시에 일어나지 않기 때문에) 발생합니다. 공격자는 검사가 통과한 후 리소스가 사용되기 전에 리소스의 상태를 변경하거나 다른 리소스로 교체함으로써 이 간극을 악용할 수 있습니다.
사용 가능한 업데이트
영향을 받는 PostgreSQL 버전을 실행 중인 경우 가능한 한 빨리 최신 버전으로 업데이트하는 것이 중요합니다. Canonical은 이 취약점을 해결하기 위한 보안 업데이트를 우분투 24.04 LTS, 우분투 22.04, LTS, 우분투 20.04 LTS 등 여러 릴리스에 배포했습니다. 우분투 사용자는 PostgreSQL APT 리포지토리에서 업데이트를 찾아 최신 버전을 받을 수 있습니다.
데비안 보안팀은 데비안 11과 데비안 12에 대한 보안 업데이트도 제공했습니다.
이전 Linux 버전에서 PostgreSQL 취약점 패치하기
PostgreSQL 취약점(CVE-2024-7348)은 보안 수정을 포함한 공식 업데이트를 더 이상 받지 않는 CentOS 7, Ubuntu 16.04 및 Ubuntu 18.04 시스템에도 영향을 미칩니다. 이러한 버전은 이미 수명 종료(EOL)에 도달한 오래된 버전입니다. 그러나 운영상의 제약이나 레거시 소프트웨어로 인해 일부 사용자 및 조직에서 여전히 사용되고 있습니다.
이러한 구형 Linux 배포판을 사용하는 사용자 및 조직은 TuxCare의 수명 주기 연장 지원을 활용하여 공식 지원 종료일 이후 최대 5년 동안 보안 업데이트를 계속 받을 수 있습니다. 이 서비스는 Linux 커널, glibc, OpenSSL, PostgreSQL, Python, OpenJDK 등을 포함한 140개 이상의 패키지에 대한 패치를 제공합니다.
ELS 팀은 최근 CentOS 7, Ubuntu 16.04 및 Ubuntu 18.04에서 위 취약점에 대한 패치를 배포했습니다. 모든 취약점에 대한 패치 상태는 CVE 트래커에서 추적할 수 있습니다.
출처: USN-6968-1