Home > 열린마당 > 공개SW 소식

공개SW 소식

2014년 06월 30일 (월)

ⓒ 지디넷코리아, 손경호 기자 sontech@zdnet.co.kr



화성 탐사선도 감염시킬 수 있는 보안 취약점이 나와 이에 대한 패치가 이뤄졌다.

개발된 지 20년이 된 리눅스 커널용 압축 알고리즘인 '렘펠-지브-오버휴머(Lempel-Ziv-Oberhumer , LZO)'에 적용되는 이 취약점은 미국 나사가 개발한 화성탐사선 큐리오시티 로버 뿐만 아니라 자동차, 비행기 시스템, 안드로이드 기기 등에도 적용될 수 있는 것으로 확인됐다.

해커뉴스에 따르면 LZO는 리눅스 커널에서 가장 많이 사용되는 압축 알고리즘 중 하나로 안드로이드 기기, 임베디드 기기 외에 오픈VPN, MPlayer2, Libav, FFmpeg 등 여러 오픈소스 라이브러리에 사용된다.


▲ 큐리오시티 로버

취약점을 처음 발견한 것은 랩 마우스 시큐리티라는 보안회사다. 이 회사 돈 베일리 최고경영자(CEO)는 LZO/LZ4 알고리즘에서 발견된 취약점에 대한 상세 내역을 자사 블로그에 공개했다. 

이 방식은 해당 압축 알고리즘을 활용한 프로그램이 실행될 때 버퍼 메모리 영역에 16메가바이트(MB) 이상 메모리가 사용될 경우 버퍼오버플로, 서비스거부(DoS), 원격코드삽입 등 악성 공격을 수행할 수 있게 한다.

버퍼오버플로는 프로그램에서 미리 설정된 수신 용량보다 큰 용량의 데이터를 보내 서비스를 정지시키는 해킹수법 중 하나다. 

베일리 CEO는 "이 취약점은 화성탐사선 뿐만 아니라 메인프레임 운영체제(OS), 일반 PC, 스마트폰 등에 사용되는 모든 종류의 임베디드 마이크로컨트롤러(일종의 CPU)에서 문제가 될 수 있다"고 설명했다. 

다만 큐리오시티 로버에서 취약점이 실행되는지 여부에 대해 실제로 검증이 이뤄진 것은 아니다. 그러나 베일리 CEO는 "나사가 관련 버그 리포트를 수용했다"며 위험성에 대해 나사에서도 인지하고 있다고 설명했다.

이밖에 안드로이드 스마트폰 등 기기에서 LZO 관련 취약점이 악용되려면 각 기기별로 최적화된 압축 라이브러리 버전에 맞게 해커 입장에서 맞춤형 악성 페이로드(악성 트래픽)를 전송해야 한다는 점에서 쉽게 접근할 수 있는 공격수법은 아니다.

관련 취약점들은 현재 CVE-2014-4607(LZO코드), CVE-2014-4608 (LZO 커널코드), CVE-2014-4609(Libav), CVE-2014-4610(FFmpeg), CVE-2014-4611(LZ4 커널코드)로 등재돼 있다. 

시스템 관리자들은 사용 중인 LZO를 최신버전(2.07)으로 업데이트하고, 리눅스 커널 버전 3.15.2을 사용할 것을 권고했다.



※ 본 내용은 (주)메가뉴스(http://www.zdnet.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 지디넷코리아. 무단전재 및 재배포 금지


[원문출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140630093411]

맨 위로
맨 위로