기술 지원
문서
로그인
문의하기
TuxCare 블로그
우분투는 최근 22.04 LTS와 20.04 LTS 릴리스 모두에서 파이썬 2.7에 영향을 미치는 여러 보안 취약점을 해결했습니다. 이러한 취약점이 악용될 경우 공격자는 임의의 코드를 실행하거나 시스템을 다운시키거나 민감한 데이터를 손상시킬 수 있습니다. Python 2.7은 여전히 많은 애플리케이션과 서비스의 핵심 부분이기 때문에 관리자는 이러한 위협에 대비해 시스템을 패치하는 것이 중요합니다.
Python 2.7 취약점 상세 정보
우분투가 최근 패치한 취약점을 자세히 살펴보겠습니다:
CVE-2022-48560
이 취약점은 파이썬이 특정 스크립트를 부적절하게 처리하기 때문에 발생합니다. 공격자는 이 결함을 악용하여 임의의 코드를 실행함으로써 데이터와 운영을 심각한 위험에 빠뜨릴 수 있습니다.
CVE-2022-48565
이 문제는 파이썬이 plist 파일에서 XML 엔티티 선언을 올바르게 처리하지 못하는 것과 관련이 있습니다. 이 결함을 통해 공격자는 XML 외부 엔티티(XXE) 인젝션을 수행할 수 있으며, 잠재적으로 서비스 거부(DoS) 또는 민감한 데이터 노출로 이어질 수 있습니다.
CVE-2022-48566
여기서 파이썬의 암호화 연산 처리에는 상수 시간 처리가 없습니다. 이로 인해 공격자는 타이밍 공격을 악용하여 비밀번호나 키와 같은 민감한 정보를 암호화 연산에서 추출할 수 있습니다.
CVE-2023-24329
이 취약점은 파이썬이 특정 입력을 부적절하게 처리하는 데서 비롯됩니다. 악의적인 입력을 처리하도록 속인 경우 원격 공격자는 이 결함을 악용하여 서비스 거부(DoS)를 유발할 수 있습니다.
CVE-2023-40217
이 문제는 파이썬의 SSL/TLS 소켓 처리와 관련이 있습니다. 특히, 공격자가 TLS 핸드셰이크를 우회하여 인증되지 않은 데이터를 인증된 것으로 처리할 수 있게 해줍니다. 이로 인해 핸드셰이크 중에 시스템이 악성 데이터를 허용할 수 있습니다.
EOL 우분투 시스템에서 Python 2.7 취약점 패치하기
위의 취약점은 우분투 22.04 LTS 및 우분투 20.04 LTS에서 수정되었습니다. 이러한 시스템을 우분투 취약점으로부터 보호하려면 최신 보안 업데이트를 적용하는 것이 필수적입니다. 그러나 16.04 또는 18.04와 같이 이미 지원 종료(EOL)에 도달한 우분투 버전을 여전히 사용하는 사용자 및 조직의 경우, 우분투 프로 구독에 등록하지 않는 한 공식 보안 업데이트를 더 이상 사용할 수 없습니다.
또는 공급업체가 지원하는 수명 주기 이후에도 지속적인 취약성 패치를 제공하여 수명이 다한 Ubuntu 시스템을 보호하는 보다 비용 효율적인 솔루션인 TuxCare의 무한 수명 주기 지원을 활용할 수 있습니다.
비용이 많이 드는 Ubuntu Pro와 달리 TuxCare는 공급업체 수준의 보안 업데이트를 통해 경제적인 확장 보안 유지 관리를 제공하므로 즉각적인 업그레이드에 대한 부담 없이 인프라를 보호하고 원하는 속도에 맞춰 마이그레이션할 수 있습니다.
결론
수명이 다한 후에도 시스템의 보안을 유지하는 것은 중요한 인프라를 보호하는 데 필수적입니다. TuxCare의 무한 수명 주기 지원을 이용하면 비용이 많이 드는 업그레이드를 서두르지 않고도 Ubuntu 16.04 및 Ubuntu 18.04에 대한 필수 보안 패치를 계속 받을 수 있습니다.
ELS 팀은 이미 이러한 Python 2.7 취약점에 대한 패치를 배포했으며, 자세한 내용은 CVE 추적기 페이지에서 확인할 수 있습니다. TuxCare의 ELS는 Python 외에도 Linux 커널, OpenSSL, glibc, OpenSSH, OpenJDK, PHP 및 Apache와 같은 필수 구성 요소를 포함하여 Ubuntu 16.04 및 18.04용 140개 이상의 패키지를 지원합니다. 여기에서 지원되는 모든 패키지를 확인하세요.
출처: USN-7180-1
