본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

고스트스크립트에서 치명적인 취약점 나왔지만 패치는 먼 얘기

OSS 게시글 작성 시각 2018-08-27 13:58:24 게시글 조회수 5157

2018년 8월 23일

ⓒ 보안뉴스

 

널리 사용되는 오픈소스, 고스트스크립트에서 원격 코드 실행 취약점 발견
패치 아직 없어...2~3단계 패치 발표되어야 하는데 아직 요원한 상태

 

고스트스크립트(Ghostscript)라는 소프트웨어에서 샌드박스를 우회하게 해주는 취약점이 발견됐다. 공격자들이 익스플로잇에 성공할 경우, 원격에서 승인 없이 임의의 명령을 실행할 수 있게 해준다.

 

취약점의 정확한 위치는 고스트스크립트의 -dSAFER 옵션이라고 첫 발견자 타비스 오르만디(Tavis Ormandy)는 설명한다. -dSAFER 옵션은 안전하지 않은 포스트스크립트(PostScript)의 작동을 막기 위한 안전장치이다. 오르만디에 의하면 “포스트스크립트를 동시에 다량으로 운영하면 기본으로 탑재되어 있는 보호 장치를 우회할 수 있게 되고, 이에 따라 공격자가 임의의 아규먼트를 동반한 코드를 임의대로 실행시킬 수 있게 된다”고 한다.

그는 권고문을 통해 “고스트스크립트나, 고스트스크립트를 활용하는 프로그램을 통해 특수하게 조작된 파일을 확인하면, 원격에 있는 공격자가 고스트스크립트 코드에 대한 권한을 갖게 되고, 임의의 명령을 실행할 수 있게 된다”고 설명했다.
(중략)

해외 보안 매체인 SC매거진은 “고스트스크립트 사태는 특정 오픈소스 소프트웨어 패키지에 대한 업계 전체의 의존도가 높을 때 일어날 수 있는 일을 보여준다”고 분석했다. 널리 사용되는 오픈소스의 가장 핵심적인 요소에서 취약점이 발견되면 파장이 엄청난데 업데이트는 쉽지 않다는 게 치명적으로 작용한다는 것이다.

설사 패치가 나온다고 하더라도, 핵심 요소를 바탕으로 구축된 다른 소프트웨어 개발자들이 후속 패치까지 발표해야 하니 시간이 더 걸린다. 이번 사태만 하더라도 고스트스크립트 개발자가 패치를 발표한다고 해도, 곧바로 적용이 어렵다. 이미지매직의 패치를 한 번 더 기다려야 한다.

이번에 발견된 오류에 영향을 받는 소프트웨어는 아티펙스 소프트웨어(Artifex Software), 센트OS(CentOS), 데비안 GNU/리눅스(Debian GNU/Linux), 페도라 프로젝트(Fedora Project), 프리BSD 프로젝트(FreeBSD Project), 젠투 리눅스(Gentoo Linux), 이미지매직(ImageMagick), 레드햇(Red Hat), 수세 리눅스(SUSE Linux), 우분투(Ubuntu)라고 한다.

(이하 생략)

 

[원본기사 보기 : https://www.boannews.com/media/view.asp?idx=72411&kind=1]

맨 위로
맨 위로