주피터프로젝트·ISC·아크로니스 등 3개 기업 제품 및 서비스에서 취약점 발견

입력 : 2024-07-30 18:59

주피터프로젝트, 주피터랩에서 CVSS 9.9 RCE 취약점 발견
ISC, BIND DNS에서 서버 중단 유발하는 취약점 4개 발견
아크로니스, ACI에서 치명적인 RCE 취약점 발견

[보안뉴스 박은주 기자] 최근 주피터프로젝트(Project Jupyter)·ISC(Internet Systems Consortium)·아크로니스(Acronis)에서 각각 보안 취약점이 발견됐다. 각 회사 및 기관은 취약점을 해결한 제품 버전을 발표하며 신속한 보안 업데이트를 권고했다.


주피터랩, RCE 취약점
파이썬 프로그래밍 환경인 주피터 노트북을 기반으로 한 ‘주피터랩(JupyterLab)’에서 원격코드실행 취약점(RCE) ‘CVE-2024-39700’이 발견됐다. CVSS 9.9점으로 만점에 가까운 치명적인 취약점으로 신속한 보안 업데이트가 요구된다.

주피터랩은 주피터 노트북을 기반으로 △대화형 코드 편집 △텍스트와 이미지 표시 △데이터 시각화 △파일 탐색기 △확장 가능한 환경 등 환경을 개발할 수 있는 인터페이스를 제공하는 개발환경이다.

취약점은 주피터랩 확장 템플릿(JupyterLab Extension Template)에서 발견됐다. 컴퓨터가 자동으로 코드를 검사하고 테스트에 사용되는 ‘update-integration-tests.yml’ 파일에 문제가 있었던 것. 공격자가 이를 악용해 시스템 장악 및 각종 악성 행위를 이어갈 수 있는 위험이 존재한다.

주피터프로젝트 사는 취약점을 해결한 보안 업데이트를 발표했다. 해당 취약점에 영향받는 버전은 4.3.2이며, 4.3.2버전으로 업데이트해 취약점을 해결할 수 있다.

BIND DNS, 4개 취약점
인터넷 도메인 네임 시스템 서버 소프트웨어 ‘BIND DNS’에서 취약점이 발견됐다. 4개 취약점 모두 CVSS 7.5점으로 위험도가 높은 취약점으로 해결 방안에 따라 최신 버전으로 업데이트가 요구된다.

발견된 4가지 취약점은 다음과 같다. △CVE-2024-4076 : 해당 취약점에 영향을 받는 DNS 서버에서 오래된 데이터와 로컬 데이터가 조회가 동시에 이뤄질 때 오류가 발생한다. 취약점으로 발생하는 오류가 서버를 멈출 수 있는 위험이 존재한다.

△CVE-2024-1975 : 서비스 거부(DoS) 공격 유발 취약점으로 KEY 레코드를 처리하거나 캐시된 레코드를 검증할 때, 클라이언트 측이 SIG(0) 서명된 요청을 연속적으로 보내면서 CPU 자원을 소모하는 위험이 존재한다.

△CVE-2024-1737 : 서버가 동일한 호스트 이름에 대해 많은 수의 리소스 레코드(Resource Records, RR)를 보유하고 있는 경우, 성능 저하가 발생할 수 있다. 데이터베이스 업데이트와 클라이언트 쿼리 처리에 영향을 미친다.

△CVE-2024-0760 : 분산 서비스 거부(DDoS) 공격의 일종으로 공격자가 TCP를 통해 많은 DNS 메시지를 보내면, 서버가 과부하되거나 다운될 수 있는 위험이 존재한다. ACL(Access Control List) 규칙 등을 적용해도 취약점으로 인한 공격을 완전히 방어할 수 없다.


ISC는 취약점을 해결한 보안 업데이트를 발표했다. 해당 취약점에 영향받는 시스템 버전과 해결 버전은 위 표와 같다.

ACI, RCE 취약점
백업 솔루션 기업 아크로니스 사의 사이버 인프라 제품인 ‘아크로니스 사이버 인프라스트럭처(Acronis Cyber Infrastructure, ACI)’에서 원격코드실행 취약점(RCE) ‘CVE-2023-45249’이 발견됐다. CVSS 9.8점에 달하는 치명적인 취약점이 발견돼 신속한 보안 업데이트가 요구된다.


제품에서 기본으로 설정된 비밀번호를 사용하는 경우, 원격에서 명령어를 실행할 수 있는 취약점이다. 아크로니스 사는 취약점을 해결한 보안 업데이트를 발표했다. 해당 취약점에 영향받는 시스템 버전과 해결 버전은 위 표와 같다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

박은주기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  2024년 3분기, 랜섬웨어 주요 이슈 4가...

• 2

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 3

  지난해 국내 정보보호 산업 총 매출액 16조...

• 4

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 5

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  비교적 안전했던 맥OS 생태계에서도 랜섬웨어...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...