고급 패키지 관리자 내 원격 코드 실행 취약점...CVE-2019-3462
중간자 공격 할 수 있다면 익스플로잇도 가능...1.4.9로 업그레이드 필요해
[보안뉴스 문가용 기자] 다양한 리눅스 버전들에서 사용되고 있는 패키지 관리자인 APT에서 원격 코드 실행 취약점이 발견됐다. 이 취약점은 CVE-2019-3462로, 중간자 공격을 할 수 있는 해커들이라면 익스플로잇이 가능하다. 표적으로 삼은 장비에 콘텐츠를 주입함으로써 실행시킬 수 있게 해준다.
[이미지 = iclickart]
“HTTP 전송(transport) 메소드 내에서 HTTP 우회를 처리하는 코드가 전송되는 필드 값을 제대로 확인하지 않습니다. 이를 공격자들이 악용하면 APT와 미러(mirror) 사이에 끼어 들어갈 수 있고(중간자 공격), 이런 기회를 활용해 악성 콘텐츠를 HTTP 연결에 주입할 수 있게 됩니다.” 데비안(Debian) 리눅스가 발표한 보안 권고문의 내용 일부다.
보안 전문가 맥스 저스틱즈(Max Justicz)에 따르면 “HTTP 서버가 요청에 대한 응답으로서 ‘우회’를 되돌려 줄 때, APT의 워커(worker) 프로세스가 201 URI 던(201 URI Done) 대신 103 우회(103 Redirect) 값을 돌려주는 것”이라고 설명한다. “이로 인해 HTTP 페처(fetcher) 프로세스가 HTTP 로케이션(Location) 헤더를 복호화 하고, 이를 103 우회(103 Redirect) 응답에 막 덧붙입니다.”
그러면서 저스틱즈는 “주입된 201 URI 던 응답을 통해 돌아온 해시 값들은 부모 프로세스가 신뢰한다”며 “서명이 된 패키지의 값들과 비교한다”고 설명을 이어갔다. “그런데 여기서 해시 값들은 이미 공격자들의 권한 아래 있습니다. 그렇기 때문에 공격자들은 부모 프로세스를 속이고, 아무 패키지나 삽입할 수 있게 되는 겁니다.”
일부 우분투(Ubuntu) 리눅스 버전에 있는 APT 1.6.y 버전은 URI를 마구잡이로 첨부하지 않는다고 한다. 그러나 분석 결과 HTTP 페처 프로세스로 가는 600 URI 어콰이어(URI Acquire) 요청들에서 삽입 취약점을 발견할 수 있었다고 한다.
이 취약점의 영향을 받는 건 APT 패키지 관리자로, 리눅스 사용자들 중 APT 패키지를 보유하고 있는 자들은 우회 기능을 비활성화시키는 것이 안전하다고 한다. 그리고 최신 버전으로 업그레이드를 진행해야 한다. 이 업그레이드에는 CVE-2019-3462 취약점에 대한 패치가 포함되어 있다.
만약 APT 사용자 중 ‘우회’ 기능 없이 업그레이드를 할 수 없다면 패치 파일을 수동으로 다운로드 받아야 한다. 이 때 wget과 curl을 사용해야 한다. 파일을 받는 데 필요한 URL들은 데비안의 보안 권고문에 첨부되어 있다. 권고문에는 파일 해시들 역시 첨부되어 있어, 다운로드 된 파일들과 매칭이 되는지 확인할 수 있다.
“이 문제를 해결하기 위해 1.4.9 버전을 통해 픽스를 배포하기 시작했습니다. APT 패키지를 보유하고, 또 사용 중에 있다면 반드시 1.4.9 버전으로 업그레이드를 해야 할 것입니다.” 데비안 측의 권고 사항이다.
3줄 요약
1. 많은 리눅스 버전에 포함되어 있는 APT 패키지 관리자에서 원격 코드 실행 취약점 발견됨.
2. 필드 값을 제대로 확인하지 않기 때문에 발생하는 취약점으로, 중간자 공격 통해 익스플로잇 가능.
3. APT 패키지 관리자 1.4.9는 이러한 문제를 해결한 최신 버전이므로 업그레이드 권장.
[국제부 문가용 기자(globoan@boannews.com)]
중간자 공격 할 수 있다면 익스플로잇도 가능...1.4.9로 업그레이드 필요해
[보안뉴스 문가용 기자] 다양한 리눅스 버전들에서 사용되고 있는 패키지 관리자인 APT에서 원격 코드 실행 취약점이 발견됐다. 이 취약점은 CVE-2019-3462로, 중간자 공격을 할 수 있는 해커들이라면 익스플로잇이 가능하다. 표적으로 삼은 장비에 콘텐츠를 주입함으로써 실행시킬 수 있게 해준다.
[이미지 = iclickart]
“HTTP 전송(transport) 메소드 내에서 HTTP 우회를 처리하는 코드가 전송되는 필드 값을 제대로 확인하지 않습니다. 이를 공격자들이 악용하면 APT와 미러(mirror) 사이에 끼어 들어갈 수 있고(중간자 공격), 이런 기회를 활용해 악성 콘텐츠를 HTTP 연결에 주입할 수 있게 됩니다.” 데비안(Debian) 리눅스가 발표한 보안 권고문의 내용 일부다.
보안 전문가 맥스 저스틱즈(Max Justicz)에 따르면 “HTTP 서버가 요청에 대한 응답으로서 ‘우회’를 되돌려 줄 때, APT의 워커(worker) 프로세스가 201 URI 던(201 URI Done) 대신 103 우회(103 Redirect) 값을 돌려주는 것”이라고 설명한다. “이로 인해 HTTP 페처(fetcher) 프로세스가 HTTP 로케이션(Location) 헤더를 복호화 하고, 이를 103 우회(103 Redirect) 응답에 막 덧붙입니다.”
그러면서 저스틱즈는 “주입된 201 URI 던 응답을 통해 돌아온 해시 값들은 부모 프로세스가 신뢰한다”며 “서명이 된 패키지의 값들과 비교한다”고 설명을 이어갔다. “그런데 여기서 해시 값들은 이미 공격자들의 권한 아래 있습니다. 그렇기 때문에 공격자들은 부모 프로세스를 속이고, 아무 패키지나 삽입할 수 있게 되는 겁니다.”
일부 우분투(Ubuntu) 리눅스 버전에 있는 APT 1.6.y 버전은 URI를 마구잡이로 첨부하지 않는다고 한다. 그러나 분석 결과 HTTP 페처 프로세스로 가는 600 URI 어콰이어(URI Acquire) 요청들에서 삽입 취약점을 발견할 수 있었다고 한다.
이 취약점의 영향을 받는 건 APT 패키지 관리자로, 리눅스 사용자들 중 APT 패키지를 보유하고 있는 자들은 우회 기능을 비활성화시키는 것이 안전하다고 한다. 그리고 최신 버전으로 업그레이드를 진행해야 한다. 이 업그레이드에는 CVE-2019-3462 취약점에 대한 패치가 포함되어 있다.
만약 APT 사용자 중 ‘우회’ 기능 없이 업그레이드를 할 수 없다면 패치 파일을 수동으로 다운로드 받아야 한다. 이 때 wget과 curl을 사용해야 한다. 파일을 받는 데 필요한 URL들은 데비안의 보안 권고문에 첨부되어 있다. 권고문에는 파일 해시들 역시 첨부되어 있어, 다운로드 된 파일들과 매칭이 되는지 확인할 수 있다.
“이 문제를 해결하기 위해 1.4.9 버전을 통해 픽스를 배포하기 시작했습니다. APT 패키지를 보유하고, 또 사용 중에 있다면 반드시 1.4.9 버전으로 업그레이드를 해야 할 것입니다.” 데비안 측의 권고 사항이다.
3줄 요약
1. 많은 리눅스 버전에 포함되어 있는 APT 패키지 관리자에서 원격 코드 실행 취약점 발견됨.
2. 필드 값을 제대로 확인하지 않기 때문에 발생하는 취약점으로, 중간자 공격 통해 익스플로잇 가능.
3. APT 패키지 관리자 1.4.9는 이러한 문제를 해결한 최신 버전이므로 업그레이드 권장.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
