우분투 보안 업데이트에서 해결된 Vim 취약점
최근 우분투 보안 업데이트는 Vim 패키지의 13가지 취약점을 해결했습니다. Canonical은 우분투 22.04 LTS, 우분투 20.04 LTS, 우분투 18.04 ESM, 우분투 14.04 ESM을 포함한 다양한 우분투 릴리스에 대한 업데이트를 릴리스했습니다. 이 블로그에서는 업데이트에서 패치된 Vim 취약점 중 일부를 살펴보겠습니다.
몇 가지 Vim 취약점 수정
CVE-2022-3234
CVSS 3.x 점수: 7.8(높음)
가상 편집 모드에서 메모리를 교체할 때 Vim이 메모리를 올바르게 처리하지 않아 힙 기반 버퍼 오버플로가 발생할 수 있습니다. 공격자는 이를 사용하여 서비스 거부를 일으킬 수 있습니다. 우분투 18.04 LTS, 우분투 20.04 LTS 및 우분투 22.04 LTS만 영향을 받습니다.
CVE-2022-3256
CVSS 3.x 점수: 7.8 높음
자동 cmd 변경 마크가 표시될 때 Vim이 메모리를 올바르게 처리하지 않는 것으로 나타났습니다. 공격자는 이 사용 후 사용 가능 결함을 사용하여 서비스 거부를 일으킬 수 있습니다.
CVE-2022-3324
CVSS 3.x 점수: 7.8 높음
Vim이 음수 너비 창을 사용하여 배열 인덱스에 대한 검사를 올바르게 수행하지 않았습니다. 공격자는 이 스택 기반 버퍼 오버플로 취약점을 사용하여 서비스 거부를 유발하거나 임의의 코드를 실행할 수 있습니다.
CVE-2022-3520
CVSS 3.x 점수: 9.8 심각
Vim이 시각적 블록이 있는 put 명령 열에 대한 검사를 제대로 수행하지 않는 것으로 발견되었습니다. 공격자는 이 힙 기반 버퍼 오버플로 문제를 사용하여 서비스 거부를 일으킬 수 있습니다. 우분투 20.04 LTS 및 우분투 22.04 LTS만 영향을 받습니다.
CVE-2022-3591
CVSS 3.x 점수: 7.8 높음
자동 명령을 사용하여 창을 열 때 Vim이 메모리를 올바르게 처리하지 못했습니다. 공격자는 이 사용 후 사용 결함을 사용하여 서비스 거부를 일으킬 수 있습니다.
CVE-2022-3705
CVSS 3.x 점수: 7.5 높음
Vim에서 취약점이 발견되어 문제가 있는 것으로 분류되었습니다. 이 문제는 autocmd 처리기 구성 요소의 quickfix.c 파일 내 qf_update_buffer 함수와 관련이 있습니다. 이 취약점을 익스플로잇하면 사용 후 자유 상태가 될 수 있으며 원격으로 악용될 수 있습니다. 잠재적 공격자는 이 취약점을 악용하여 서비스 거부를 시작할 수 있습니다. 이 문제는 우분투 20.04 LTS 및 우분투 22.04 LTS에만 영향을 미친다는 점에 유의해야 합니다.
CVE-2022-4293
CVSS 3.x 점수: 5.5 보통
Vim이 잘못된 연산으로 부동 소수점 비교를 올바르게 처리하지 않아 부동 소수점 예외 결함이 발생했습니다. 공격자는 이 문제를 사용하여 서비스 거부를 일으킬 수 있습니다. 우분투 20.04 LTS 및 우분투 22.04 LTS만 영향을 받습니다.
TuxCare는 이미 여러 EOL Linux 배포판에 영향을 미치는 이러한 취약성에 대한 패치를 릴리스했습니다. 지원 종료 Linux에 대한 수명 주기 연장 지원에 대해 자세히 알아보세요.
최종 생각
이러한 Vim 취약점을 해결하려면 시스템을 최신 패키지 버전으로 업데이트할 것을 적극 권장합니다. 시스템 업데이트 후 재부팅이 필요합니다.
시스템 재부팅 없이 패치를 적용하려면 Linux 시스템에 보안 업데이트를 적용하는 자동화된 라이브 패치 솔루션을 제공하는 TuxCare의 KernelCare Enterprise를 사용하는 것을 고려할 수 있습니다. KernelCare의 라이브 패치가 어떻게 작동하는지 알아보세요.
이 글의 출처는 우분투 보안 공지사항에서 확인할 수 있습니다.