우분투 라이브패치로 몇 가지 리눅스 커널 취약점이 수정되었습니다.
Ubuntu 라이브패치 서비스는 Linux 커널의 중요도가 높고 심각한 취약점을 효과적으로 해결하므로 패치 후 재부팅할 필요가 없습니다. Ubuntu Pro 구독에 포함되어 있습니다.
이 블로그에서는 커널 라이브패치로 패치된 몇 가지 보안 문제에 대해 설명합니다.
우분투 커널 라이브 패치 업데이트
CVE-2023-3090
CVSS 3.x 점수: 7.8 높음
Linux 커널의 IP-VLAN 네트워크 드라이버가 특정 상황에서 메모리를 올바르게 초기화하지 않아 힙이 범위를 벗어난 쓰기 취약점이 발생했습니다. 공격자는 이 문제를 사용하여 서비스 거부 또는 임의의 코드 실행을 트리거할 수 있습니다.
CVE-2023-3567
CVSS 3.x 점수: 7.1 높음
Linux 커널의 가상 터미널 드라이버에서 로컬 공격자가 서비스 거부를 유발하거나 민감한 정보(커널 메모리)를 공개할 수 있는 사용 후 사용 취약점이 발견되었습니다.
CVE-2023-3609
CVSS 3.x 점수: 7.8 높음
범용 32비트 네트워크 패킷 분류기 구현에서 특정 상황에서 참조를 잘못 계산하는 사용 후 무료 취약점이 발견되었습니다. 로컬 공격자가 이 결함을 사용하여 서비스 거부를 유발하거나 임의의 코드를 실행할 수 있습니다.
CVE-2023-3776
CVSS 3.x 점수: 7.8 높음
Linux 커널의 net/sched: cls_fw 구성 요소가 참조 카운팅을 제대로 처리하지 않는 것으로 발견되었습니다. 공격자는 이 문제를 악용하여 로컬 권한을 상승시킬 수 있습니다. 공격자가 참조 카운터를 제어하여 0으로 설정하면 참조가 해제되어 사용 후 자유 취약점이 발생할 수 있습니다.
CVE-2023-3777
CVSS 3.x 점수: 7.8 높음
Kevin Rich는 Linux 커널의 넷필터 서브시스템이 일부 조건에서 테이블 규칙 플러시를 올바르게 처리하지 못한다는 사실을 발견했습니다. 로컬 공격자가 이를 악용하여 시스템 서비스 거부 또는 임의의 코드 실행을 일으킬 수 있습니다.
CVE-2023-3995( CVE-2023-4147과 중복)
CVSS 3.x 점수: 7.8 높음
Kevin Rich는 Linux 커널의 넷필터 하위 시스템에서 특정 조건에서 바인딩된 체인에 대한 규칙 추가를 부적절하게 처리하는 취약점을 발견했습니다. 특정 상황에서 로컬 공격자가 이 결함을 악용하여 잠재적으로 서비스 거부를 유발하여 시스템 충돌을 일으키거나 임의의 코드를 실행할 수 있습니다.
CVE-2023-4004
CVSS 3.x 점수: 7.8 높음
리눅스 커널 내의 넷필터 서브시스템에서 PIPAPO 요소 제거가 적절하게 관리되지 않는 결함이 발견되었으며, 이로 인해 사용 후 무료 취약점이 발견되었습니다. 로컬 공격자가 이 취약점을 악용하여 서비스 거부를 유도하거나 임의의 코드를 실행할 수 있습니다.
CVE-2023-4128
CVSS 3.x 점수: 7.8 높음
Linux 커널 내의 특정 네트워크 분류기 구현에서 사용 후 무료 취약점이 발견되었습니다. 로컬 공격자는 이 결함을 악용하여 서비스 거부를 트리거하거나 임의의 코드를 실행할 수 있습니다.
CVE-2023-21400
CVSS 3.x 점수: 6.7 보통
예 장과 니콜라스 우는 리눅스 커널의 io_uring 하위 시스템에서 취약점을 발견했으며, 이 취약점은 IOPOLL을 사용하는 링에 대한 부적절한 잠금 메커니즘으로 인해 이중 자유 취약점이 발생한다는 것을 밝혀냈습니다. 이러한 시나리오에서 로컬 공격자는 이 문제를 악용하여 서비스 거부를 유도하거나 임의의 코드를 실행할 수 있습니다.
CVE-2023-40283
CVSS 3.x 점수: 7.8 높음
Linux 커널의 Bluetooth 하위 시스템에서 L2CAP 소켓 릴리스의 부적절한 처리와 관련된 취약점이 발견되었으며, 이로 인해 사용 후 무료 취약점이 발생했습니다. 로컬 공격자가 이 결함을 악용하여 서비스 거부를 시작하거나 임의의 코드를 실행할 수 있습니다.
최종 생각
Canonical은 우분투 22.04 LTS, 우분투 20.04 LTS, 우분투 18.04, 우분투 16.04 및 우분투 14.04 ESM을 포함한 다양한 릴리스에 대해 이러한 우분투 라이브패치 보안 업데이트를 제공했습니다. 이러한 문제를 해결하려면 라이브 패치 버전을 업데이트하는 것이 좋습니다.
Canonical의 라이브패치는 우분투 사용자를 위한 것으로 상대적으로 비싸다. 또는 Ubuntu, Debian, RHEL, AlmaLinux, CentOS 등 모든 주요 Linux 배포판의 자동화된 무중단 라이브 패치를 위해 TuxCare의 KernelCare Enterprise를 고려할 수 있습니다. 원스톱 솔루션이므로 Linux 기반 컴퓨터를 보호하기 위해 여러 라이브 패치 도구를 사용할 필요가 없습니다.
KernelCare Enterprise와 Canonical Livepatch의 비교에 대해 자세히 알아보세요.
이 글의 출처는 우분투 보안 공지사항에서 확인할 수 있습니다.