Home > 열린마당 > 공개SW 소식

공개SW 소식

2018년 8월 23일

ⓒ 보안뉴스

 

널리 사용되는 오픈소스, 고스트스크립트에서 원격 코드 실행 취약점 발견
패치 아직 없어...2~3단계 패치 발표되어야 하는데 아직 요원한 상태

 

고스트스크립트(Ghostscript)라는 소프트웨어에서 샌드박스를 우회하게 해주는 취약점이 발견됐다. 공격자들이 익스플로잇에 성공할 경우, 원격에서 승인 없이 임의의 명령을 실행할 수 있게 해준다.

 

취약점의 정확한 위치는 고스트스크립트의 -dSAFER 옵션이라고 첫 발견자 타비스 오르만디(Tavis Ormandy)는 설명한다. -dSAFER 옵션은 안전하지 않은 포스트스크립트(PostScript)의 작동을 막기 위한 안전장치이다. 오르만디에 의하면 “포스트스크립트를 동시에 다량으로 운영하면 기본으로 탑재되어 있는 보호 장치를 우회할 수 있게 되고, 이에 따라 공격자가 임의의 아규먼트를 동반한 코드를 임의대로 실행시킬 수 있게 된다”고 한다.

그는 권고문을 통해 “고스트스크립트나, 고스트스크립트를 활용하는 프로그램을 통해 특수하게 조작된 파일을 확인하면, 원격에 있는 공격자가 고스트스크립트 코드에 대한 권한을 갖게 되고, 임의의 명령을 실행할 수 있게 된다”고 설명했다.
(중략)

해외 보안 매체인 SC매거진은 “고스트스크립트 사태는 특정 오픈소스 소프트웨어 패키지에 대한 업계 전체의 의존도가 높을 때 일어날 수 있는 일을 보여준다”고 분석했다. 널리 사용되는 오픈소스의 가장 핵심적인 요소에서 취약점이 발견되면 파장이 엄청난데 업데이트는 쉽지 않다는 게 치명적으로 작용한다는 것이다.

설사 패치가 나온다고 하더라도, 핵심 요소를 바탕으로 구축된 다른 소프트웨어 개발자들이 후속 패치까지 발표해야 하니 시간이 더 걸린다. 이번 사태만 하더라도 고스트스크립트 개발자가 패치를 발표한다고 해도, 곧바로 적용이 어렵다. 이미지매직의 패치를 한 번 더 기다려야 한다.

이번에 발견된 오류에 영향을 받는 소프트웨어는 아티펙스 소프트웨어(Artifex Software), 센트OS(CentOS), 데비안 GNU/리눅스(Debian GNU/Linux), 페도라 프로젝트(Fedora Project), 프리BSD 프로젝트(FreeBSD Project), 젠투 리눅스(Gentoo Linux), 이미지매직(ImageMagick), 레드햇(Red Hat), 수세 리눅스(SUSE Linux), 우분투(Ubuntu)라고 한다.

(이하 생략)

 

[원본기사 보기 : https://www.boannews.com/media/view.asp?idx=72411&kind=1]

공개SW 소식 게시물 리스트 표
번호 제목 조회수 작성
공지 [주간 OSS 동향 리포트] 2019 SW주간, 오픈소스 트렌드부터 개방형OS까지 new 4 2019-12-08
공지 [주간 OSS 동향 리포트] 한·중·일, 빅데이터·5G·인공지능의 3국 간 협업 프로젝트 추진 위해 협력 978 2019-11-26
공지 [주간 OSS 동향 리포트] 개발자를 위한 오픈소스 프로젝트 활용팁 1125 2019-11-20
공지 [주간 OSS 동향 리포트] 금융권 통합 오픈API 플랫폼 선보여 …오픈소스 기반 자체개발 주목 1106 2019-11-17
7992 고스트스크립트에서 치명적인 취약점 나왔지만 패치는 먼 얘기 551 2018-08-27
7991 [디센터 뉴월드]⑦티끌모아 태산을 만드는 블록체인…기술로 개인을 묶어 거인을 만든다 379 2018-08-27
7990 인텔, 인공지능 스타트업 버텍스AI 인수 550 2018-08-27
7989 [주목할 우수 산업기술]오픈소스 기반 모델링·시뮬레이션SW file 384 2018-08-27
7988 [해외기사] 주정부 LA 카운티의 새로운 공개SW 투표 집계 시스템 인증 357 2018-08-23
7987 스프린트는 어떻게 휴대폰 사기를 95% 줄였나 533 2018-08-23
7986 알티베이스, 서울교통공사에 신호관제 데이터베이스 공급 433 2018-08-22
7985 "오픈소스가 진입장벽 낮추는 최선책"··· 세일즈포스, 자체 머신러닝 기술 공개 402 2018-08-21
7984 [주간 OSS 동향 리포트]한국도 탈 오라클 본격화하나..현대차그룹, 오라클 DBMS 대체 방안 검토 656 2018-08-21
7983 지금 뜨는 프로그래밍 언어는? ‘스위프트’와 ‘코틀린’ 553 2018-08-20
맨 위로
맨 위로