우분투, 아파치 HTTP 서버의 여러 취약점 패치
서비스 거부 또는 민감한 정보 노출로 이어질 수 있는 몇 가지 보안 취약점이 Apache HTTP 서버에서 발견되었습니다. 다행히 새 버전에서는 이러한 취약점이 해결되었으므로 Apache HTTP 서버 패키지를 업그레이드할 것을 강력히 권장합니다. Canonical은 또한 Ubuntu 24.04 LTS, Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS 등 여러 버전의 운영 체제에서 이러한 취약점을 해결하기 위한 보안 업데이트를 배포했습니다.
아파치 HTTP 서버 취약점 수정
CVE-2024-36387
아파치 HTTP 서버가 HTTP/2 연결을 통한 웹소커 프로토콜 업그레이드를 잘못 처리하는 것으로 발견되었습니다. 원격 공격자가 이 문제를 악용하여 서버를 다운시켜 서비스 거부를 일으킬 수 있습니다.
아파치 HTTP 서버의 mod_proxy_module이 잘못된 인코딩으로 특정 요청 URL을 백엔드로 잘못 보냈습니다. 원격 공격자는 이를 사용하여 인증 메커니즘을 우회할 수 있습니다.
CVE-2024-38474, CVE-2024-38475, CVE-2024-39573
mod_rewrite 모듈이 특정 치환을 잘못 처리하는 세 가지 Apache HTTP 서버 취약점이 발견되었습니다. 이러한 문제를 악용하면 원격 공격자가 URL로 직접 도달할 수 없는 디렉터리에서 스크립트를 실행하거나 서비스 거부를 일으킬 수 있습니다. 일부 환경에서는 안전하지 않은 대체를 관리하기 위해 새로운 UnsafeAllow3F 플래그를 사용해야 할 수 있습니다.
CVE-2024-38476
아파치 HTTP 서버가 특정 응답 헤더를 잘못 처리하는 취약점이 발견되었습니다. 이 취약점은 원격 공격자가 민감한 정보를 얻거나 로컬 스크립트를 실행하거나 서버 측 요청 위조(SSRF) 공격을 수행하기 위해 악용될 수 있습니다.
mod_proxy 모듈의 또 다른 문제인 이 취약점은 특정 요청을 잘못 처리하여 서비스 거부(서버 크래시)로 이어질 수 있습니다.
이 취약점은 아파치 HTTP 서버가 AddType을 통해 구성된 특정 핸들러를 처리하는 방식에서 발견되었습니다. 원격 공격자가 이를 악용하여 소스 코드를 얻을 수 있습니다.
보안을 유지하는 방법?
이러한 취약점으로부터 시스템을 보호하려면 Apache HTTP 서버를 최신 버전으로 업데이트하는 것이 중요합니다. 우분투 24.04 LTS, 우분투 23.10, 우분투 22.04 LTS, 우분투 20.04 LTS 등 지원되는 우분투 릴리즈의 사용자를 위해 Canonical은 필요한 업데이트를 제공했습니다. 표준 시스템 업데이트는 서버 보안에 필요한 모든 변경 사항을 구현합니다.
시스템을 최신 패키지 버전으로 업데이트하는 것은 apt 패키지 관리자를 사용하여 쉽게 할 수 있습니다. 다음은 빠른 가이드입니다:
패키지 목록을 업데이트합니다:
$ sudo apt update
설치된 패키지를 업그레이드합니다:
$ sudo apt upgrade
Ubuntu 16.04 및 Ubuntu 18.04와 같은 EOL(지원 종료) 시스템의 경우 보안 업데이트를 받으려면 Ubuntu Pro 구독이 필요합니다. 이 구독은 비용이 많이 들 수 있지만 필수 보안 업데이트를 제공합니다. 또는 TuxCare의 연장 수명 주기 지원은 보다 저렴한 솔루션을 제공하여 EOL 날짜 이후 최대 5년 동안 공급업체 수준의 보안 패치를 추가로 제공합니다. 이 서비스에는 Apache 패키지, Linux 커널, OpenSSL, glibc, OpenSSH, Python 및 기타 다양한 패키지가 포함됩니다.
출처 USN-6885-1