고스트스크립트에서 치명적인 취약점 나왔지만 패치는 먼 얘기
2018년 8월 23일
ⓒ 보안뉴스
널리 사용되는 오픈소스, 고스트스크립트에서 원격 코드 실행 취약점 발견
패치 아직 없어...2~3단계 패치 발표되어야 하는데 아직 요원한 상태
고스트스크립트(Ghostscript)라는 소프트웨어에서 샌드박스를 우회하게 해주는 취약점이 발견됐다. 공격자들이 익스플로잇에 성공할 경우, 원격에서 승인 없이 임의의 명령을 실행할 수 있게 해준다.
취약점의 정확한 위치는 고스트스크립트의 -dSAFER 옵션이라고 첫 발견자 타비스 오르만디(Tavis Ormandy)는 설명한다. -dSAFER 옵션은 안전하지 않은 포스트스크립트(PostScript)의 작동을 막기 위한 안전장치이다. 오르만디에 의하면 “포스트스크립트를 동시에 다량으로 운영하면 기본으로 탑재되어 있는 보호 장치를 우회할 수 있게 되고, 이에 따라 공격자가 임의의 아규먼트를 동반한 코드를 임의대로 실행시킬 수 있게 된다”고 한다.
그는 권고문을 통해 “고스트스크립트나, 고스트스크립트를 활용하는 프로그램을 통해 특수하게 조작된 파일을 확인하면, 원격에 있는 공격자가 고스트스크립트 코드에 대한 권한을 갖게 되고, 임의의 명령을 실행할 수 있게 된다”고 설명했다.
(중략)
해외 보안 매체인 SC매거진은 “고스트스크립트 사태는 특정 오픈소스 소프트웨어 패키지에 대한 업계 전체의 의존도가 높을 때 일어날 수 있는 일을 보여준다”고 분석했다. 널리 사용되는 오픈소스의 가장 핵심적인 요소에서 취약점이 발견되면 파장이 엄청난데 업데이트는 쉽지 않다는 게 치명적으로 작용한다는 것이다.
설사 패치가 나온다고 하더라도, 핵심 요소를 바탕으로 구축된 다른 소프트웨어 개발자들이 후속 패치까지 발표해야 하니 시간이 더 걸린다. 이번 사태만 하더라도 고스트스크립트 개발자가 패치를 발표한다고 해도, 곧바로 적용이 어렵다. 이미지매직의 패치를 한 번 더 기다려야 한다.
이번에 발견된 오류에 영향을 받는 소프트웨어는 아티펙스 소프트웨어(Artifex Software), 센트OS(CentOS), 데비안 GNU/리눅스(Debian GNU/Linux), 페도라 프로젝트(Fedora Project), 프리BSD 프로젝트(FreeBSD Project), 젠투 리눅스(Gentoo Linux), 이미지매직(ImageMagick), 레드햇(Red Hat), 수세 리눅스(SUSE Linux), 우분투(Ubuntu)라고 한다.
(이하 생략)
[원본기사 보기 : https://www.boannews.com/media/view.asp?idx=72411&kind=1]
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 398593 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 388409 | 2020-10-27 |
7998 | [주간 OSS 동향 리포트]LA 카운티에서 공개SW 투표 집계 시스템 인증 획득 | 6516 | 2018-08-28 |
7997 | 클립소프트, 오픈소스 플랫폼 '깃허브'에 HWP 라이브러리 공개 | 6096 | 2018-08-28 |
7996 | 국내파, 일론머스크 AI 기업으로···"세상 문제 해결" | 5281 | 2018-08-28 |
7995 | ‘아파치 스트러츠’ 원격 코드 실행 취약점 발견 | 5023 | 2018-08-28 |
7994 | 마이크로소프트와 세일즈포스, 주요 기업용 소프트웨어 제품군 오픈소스화 계획 | 5288 | 2018-08-27 |
7993 | 추억의 윈도95, 앱으로 부활했다 | 5182 | 2018-08-27 |
7992 | 고스트스크립트에서 치명적인 취약점 나왔지만 패치는 먼 얘기 | 5765 | 2018-08-27 |
7991 | [디센터 뉴월드]⑦티끌모아 태산을 만드는 블록체인…기술로 개인을 묶어 거인을 만든다 | 5001 | 2018-08-27 |
7990 | 인텔, 인공지능 스타트업 버텍스AI 인수 | 5390 | 2018-08-27 |
7989 | [주목할 우수 산업기술]오픈소스 기반 모델링·시뮬레이션SW file | 5018 | 2018-08-27 |
0개 댓글