오픈소스 관리 툴 웹민, 1년 간 ‘국제 백도어’로 사용된 듯
OSS관리자
게시글 작성 시각 2019-08-20 17:54:15
8월 20일
ⓒ 보안뉴스, 문가용 기자 | globoan@boannews.com
리눅스와 유닉스용 원격 관리 인터페이스에 개발자도 모르는 익스플로잇 코드 있어
데프콘 통해 처음 공개...개발자들 부랴부랴 안전한 버전 개발해 발표해
리눅스와 유닉스 시스템을 관리할 때 사용하는 웹 기반 오픈소스 인터페이스인 웹민(Webmin)에서 원격 코드 실행 취약점이 발견됐다. 문제는 이 취약점이 1년 이상 존재해 있었다는 것이다. 전 세계적인 백도어로서 활용되어 왔을 가능성이 높아 보인다.
문제의 취약점은 CVE-2019-15107로, 최근 진행된 데프콘(DEFCON) 행사에서 처음 공개됐다. 웹민 개발자들에게 먼저 알려지지 않은 채로 상세한 내용이 발표됐다고 한다.
이 오류는 기한이 만료된 비밀번호를 바꾸기 위해 마련된 기능에 있는 것으로, 원격에서 승인이 되지 않은 공격자들이 루트 권한을 가지고 임의의 명령을 실행할 수 있게 해준다.
(후략)
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 435588 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 424473 | 2020-10-27 |
8593 | SAS, 인공지능 부문 매출 약 105% 성장...“업계 평균 대비 4배 이상 높아” file | 5258 | 2019-08-22 |
8592 | 레드햇, “컨테이너 제대로 쓰려면 RHEL·오픈시프트가 열쇠” file | 5149 | 2019-08-22 |
8591 | 윈도우와 리눅스를 아우르는 국산 운영체제, 티맥스OS file | 5447 | 2019-08-22 |
8590 | 5G시대 대응하는 삼성전자, 스마트폰·TV ‘보안’ 어떻게? | 5226 | 2019-08-21 |
8589 | 아르고넷, HWP 텍스트 및 메타데이터 추출기 아파치 재단에 기부 | 4609 | 2019-08-21 |
8588 | 플라네타리움, 블록체인 RPG '나인 크로니클' 연내 출시 | 4711 | 2019-08-21 |
8587 | 마이크로소프트, 오픈소스 프로젝트기반' 엣지 브라우저' 베타 공개 | 5051 | 2019-08-21 |
8586 | 오픈소스 관리 툴 웹민, 1년 간 ‘국제 백도어’로 사용된 듯 | 4656 | 2019-08-20 |
8585 | 유튜브 프리미엄을 공짜로? '유튜브 밴스드' 불법성 논란 | 5152 | 2019-08-20 |
8584 | [주간 OSS 동향 리포트] 티맥스OS 개인용 'HE' 출시…"MS 윈도 병행사용, 오피스 지원" | 9715 | 2019-08-19 |
0개 댓글