.gif)
Node.js에서 CVE-2024-27980 취약점 우회해 발생하는 임의 코드 실행 취약점 발생
[보안뉴스 김경애 기자] Node.js에서 임의 코드 실행 취약점이 발견돼 이용자들의 각별한 주의가 요구된다. 이와 관련 한국인터넷진흥원은 10일 취약점 주의를 당부하며 보안 공지했고, Open JS 재단은 Node.js에서 발생하는 취약점을 해결한 보안 업데이트를 발표했다.
[이미지=nodejs 홈페이지]
이번에 발견된 취약점은 Node.js에서 CVE-2024-27980 취약점을 우회해 발생하는 임의 코드 실행 취약점(CVE-2024-36138)이다. CVE-2024-27980은 Node.js 제품의 Windows에서 발생하는 Command Injection 취약점이다.
해당 취약점은 Windows에서 가능한 모든 확장명을 가진 배치 파일을 부적절하게 처리해 발생한다. 악의적인 명령줄 인수는 셸 옵션을 사용하지 않아도 임의 명령을 주입하고 코드를 실행할 수 있다. 이에 따라 영향받는 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트하는 게 바람직하다.
리니어리티 한승연 대표는 “Node.JS는 백엔드로 사용되기 때문에 Windows 서버에서 구동되는 비율이 낮고, child_process 함수를 사용해 cmd.exe가 실행되는 상황에서만 취약점이 발생할 수 있어 실제 공격이 발생할 확률은 높아 보이지는 않는다”면서도 “프레임워크 자체의 취약점이기도 하고 취약점이 발생했을 때의 위험성은 매우 높아 Windows에서 Node.JS를 운영하는 경우라면 반드시 패치를 해야 한다”고 밝혔다.
엔키화이트햇 정시헌 팀장은 “해당 취약점은 임의 코드를 실행 할 수 있는 특징이 있으며 Node.js의 child_process함수에 의해 발생한다”며 “Windows 운영체제에서 사용하는 cmd 프로그램에서 인자 값을 조작할 수 있는 경우에 적용되는 취약점”이라고 설명했다. 그러면서 “22.x, 20.x, 18.x 버전을 사용할 경우 7월 8일 이후 업데이트를 적용하면 미리 예방할 수 있다”고 덧붙였다.
한국인터넷진흥원 이창용 팀장은 “node.js는 오픈소스 SW로 웹서버 등 개발시에 널리 활용되고 있다”며 “특히 홈페이지 운영사와 개발사가 다른 경우 자사에서 운영 중인 홈페이지에 node.js 사용 여부를 확인해 낮은 버전일 경우 상시 최신버전으로 유지될 수 있도록 신경써야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애 기자] Node.js에서 임의 코드 실행 취약점이 발견돼 이용자들의 각별한 주의가 요구된다. 이와 관련 한국인터넷진흥원은 10일 취약점 주의를 당부하며 보안 공지했고, Open JS 재단은 Node.js에서 발생하는 취약점을 해결한 보안 업데이트를 발표했다.
[이미지=nodejs 홈페이지]
이번에 발견된 취약점은 Node.js에서 CVE-2024-27980 취약점을 우회해 발생하는 임의 코드 실행 취약점(CVE-2024-36138)이다. CVE-2024-27980은 Node.js 제품의 Windows에서 발생하는 Command Injection 취약점이다.
해당 취약점은 Windows에서 가능한 모든 확장명을 가진 배치 파일을 부적절하게 처리해 발생한다. 악의적인 명령줄 인수는 셸 옵션을 사용하지 않아도 임의 명령을 주입하고 코드를 실행할 수 있다. 이에 따라 영향받는 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트하는 게 바람직하다.
리니어리티 한승연 대표는 “Node.JS는 백엔드로 사용되기 때문에 Windows 서버에서 구동되는 비율이 낮고, child_process 함수를 사용해 cmd.exe가 실행되는 상황에서만 취약점이 발생할 수 있어 실제 공격이 발생할 확률은 높아 보이지는 않는다”면서도 “프레임워크 자체의 취약점이기도 하고 취약점이 발생했을 때의 위험성은 매우 높아 Windows에서 Node.JS를 운영하는 경우라면 반드시 패치를 해야 한다”고 밝혔다.
엔키화이트햇 정시헌 팀장은 “해당 취약점은 임의 코드를 실행 할 수 있는 특징이 있으며 Node.js의 child_process함수에 의해 발생한다”며 “Windows 운영체제에서 사용하는 cmd 프로그램에서 인자 값을 조작할 수 있는 경우에 적용되는 취약점”이라고 설명했다. 그러면서 “22.x, 20.x, 18.x 버전을 사용할 경우 7월 8일 이후 업데이트를 적용하면 미리 예방할 수 있다”고 덧붙였다.
한국인터넷진흥원 이창용 팀장은 “node.js는 오픈소스 SW로 웹서버 등 개발시에 널리 활용되고 있다”며 “특히 홈페이지 운영사와 개발사가 다른 경우 자사에서 운영 중인 홈페이지에 node.js 사용 여부를 확인해 낮은 버전일 경우 상시 최신버전으로 유지될 수 있도록 신경써야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
