¾ÆÁ÷±îÁø ·ÎÄà °ø°Ý...ÇÏÁö¸¸ ¿ø°Ý °ø°Ý °¡´É¼º ¹èÁ¦ ¸øÇØ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¸®´ª½º Ä¿³ÎÀÇ ¹æ¾î±âÁ¦ Áß Çϳª°¡ »õ·Î¿î °ø°ÝÀ¸·Î ¹«³ÊÁ³´Ù. °ø°Ý ¹æ¹ý ÀÚü´Â »õ·Ó´Ù°í º¼ ¼ö ÀÖÁö¸¸, ±× °ø°ÝÀÌ °Ü³ÉÇÏ´Â Ãë¾àÁ¡ ÀÚü´Â ¿À·¡µÈ °ÍÀ̶ó°í ÇÑ´Ù. ÀÌ ¹®Á¦¸¦ ã¾Æ³½ º¸¾È ¾÷ü Ä÷¸®½º(Qualys)´Â ÇØ´ç Ãë¾àÁ¡À» ½ºÅà Ŭ·¡½Ã(Stack Clash)¶ó°í ºÎ¸£¸ç, i386 ÇÁ·Î¼¼¼¿Í amd64 ÇÁ·Î¼¼¼¿¡¼ µ¹¾Æ°¡´Â ¸®´ª½º, ¿ÀÇÂBSD, ÇÁ¸®BSD, ¼Ö¶ó¸®½º(Solaris)¿¡¼ ¸ðµÎ ¹ß°ßµÇ°í ÀÖ´Ù°í ¼³¸íÇÑ´Ù.
¡ã Ãë¾àÁ¡Àº À¯Çàó·³ µ¹°í µ·´Ù (¨Ï iclickart)
½ºÅà Ŭ·¡½Ã Ãë¾àÁ¡Àº ¸®´ª½º Ä¿³Î¿¡ Á¸ÀçÇÏ´Â ¸Þ¸ð¸® °ü¸® ¿À·ù·Î °ø°ÝÀÚµéÀÌ º¸¾È ÀåÄ¡¸¦ ¿ìȸÇÒ ¼ö ÀÖµµ·Ï ÇØÁÖ¸ç, ¸®´ª½º ±â¹ÝÀÇ ¼¹ö, °¡Àü±â±â, »ç¹°ÀÎÅÍ³Ý ±â±âµé ¸ðµÎ¸¦ ÀáÀçÀûÀÎ °ø°Ý¿¡ ³ëÃâ½ÃŲ´Ù. ´ÙÇàÈ÷ À§¿¡¼ ¾ð±ÞµÈ Ç÷§Æûµé¿¡ ´ëÇÑ ÆÐÄ¡´Â À̹ø ÁÖ ÃÊ¿¡ ÁøÇàµÈ ¹Ù ÀÖ´Ù.
Ä÷¸®½º´Â ½ºÅà Ŭ·¡½ÃÀÇ ÀͽºÇ÷ÎÀÕ ¹æ¹ýÀ» 7°³ °³¹ßÇߴµ¥, °ø°ÝÀ» ÅëÇØ ¸Þ¸ð¸®¸¦ º¯Çü½ÃÄÑ ¾Ç¼º Äڵ带 ½ÇÇà½Ãų ¼ö ÀÖ°Ô ÇØÁÖ´Â ±â´ÉÀ» °¡Áö°í ÀÖ´Ù. ¾Ç¼º ÄÚµåÀÇ Á¾·ù¿¡ µû¶ó °á±¹¿£ ±â±âÀÇ ÅëÁ¦±ÇÀ» ¿ÂÀüÈ÷ °¡Á®¿Ã ¼öµµ ÀÖ¾ú´Ù. ÀÌ ¿¬±¸ Á¶»ç¿¡ Âü¿©ÇÑ Ä÷¸®½º Àü¹®°¡µéÀº ¸®´ª½º Ç÷§ÆûÀ» ÃÖ´ëÇÑ ºü¸£°Ô ¾÷µ¥ÀÌÆ® ÇØ¾ß ÇÑ´Ù°í Ã˱¸ÇÑ´Ù.
¡°¸Þ¸ð¸® °ü¸® ½Ã½ºÅÛ°ú °ü·ÃÀÌ ÀÖ´Â ¿À·ù¶ó¸é ¸Å¿ì À§ÇèÇÑ ¿À·ù¶ó°í º¼ ¼ö ÀÖ½À´Ï´Ù. °ø°ÝÀ¸·Î ÀÎÇØ ÇÒ ¼ö ÀÖ´Â °ÍµéÀÌ ±²ÀåÈ÷ ¸¹±â ¶§¹®ÀÌÁÒ. ±ÇÇÑ »ó½Â °ø°Ý°ú ºñ½ÁÇÑ ¼º°ÝÀÇ °ÍµéÀ» °¨ÇàÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡± Ä÷¸®½ºÀÇ Á¦Ç°º¸È£ Ã¥ÀÓÀÚÀÎ Áö¹Ì ±×·¡ÇÔ(Jimmy Graham)ÀÇ ¼³¸íÀÌ´Ù.
½ºÅà Ŭ·¡½Ã Ãë¾àÁ¡ÀÌ ¡®Æ¯º°ÇÑ¡¯ ÀÌÀ¯´Â ¸®´ª½º °³¹ßÀÚµéÀÌ ¡®¸Þ¸ð¶ó °ü¸® ½Ã½ºÅÛ¡¯À» ¹æ¾îÇÏ·Á°í ¸¸µç ¹æ¾îÃ¥µéÀ» ÀüºÎ ¿ìȸÇÑ´Ù´Â Á¡¿¡ ÀÖ´Ù. Á¦¹ß À̰͸¸Àº ÇÏÁö ¸»¶ó°í Á¶Ä¡¸¦ ÃëÇسù´Âµ¥, ±×°É ÇÇÇؼ ±× ÇÏÁö ¸»¶ó´Â °É Á¤È®È÷ ÇÒ ¼ö ÀÖ°Ô µÈ´Ù´Â °ÍÀÌ´Ù. ±×·¡ÇÔÀº ¡°º¸ÆíÀûÀÎ ¹æ¾î¼úÀÌ ¾Æ´Ï¶ó ƯÁ¤ °ø°Ý¿¡ ´ëÇÑ ¸ÂÃãÇü ¹æ¾î¼úÀÌ ¿ÏÀüÈ÷ ¹«¿ëÁö¹°À̶ó´Â °Ô µå·¯³ °ÍÀÌ¶ó °³¹ßÀÚµéÀÇ ÀÚÁ¸½É¿¡µµ »óó°¡ ³µÀ» °Í¡±À̶ó°í ¸»ÇÑ´Ù.
°Ô´Ù°¡ ½ºÅà Ŭ·¡½Ã °ø°Ý¹ýÀÌ ÀÌÀü¿¡ ÇÑ ¹øµµ ¾ø¾ú´ø »õ·Î¿î °ÍÀÌ ¾Æ´Ï±â ¶§¹®¿¡ ¡®ÀÚÁ¸½É »ó󡯴 ´õ ±íÀ» ¼ö ÀÖ´Ù. ¸®´ª½º ȯ°æ¿¡¼ ¸Þ¸ð¸® °ü¸® ½Ã½ºÅÛÀ» °ø°ÝÇÏ´Â °³³ä ÀÚü´Â ÀÌ¹Ì 2005³â¿¡ µîÀåÇß°í, 2010³â¿¡µµ ÇÑ Â÷·Ê À̽´°¡ µÈ ÀûÀÌ ÀÖ´Ù. ¸®´ª½º °³¹ßÀÚµéÀº ½ºÅð¡µå ÆäÀÌÁö(StackGuard Page)¶ó´Â °É ¸¸µé¾î ÀÌ¿¡ ´ëÀÀÇÑ ÀûÀÌ Àֱ⵵ ÇÏ´Ù. ¡°½ºÅð¡µå ÆäÀÌÁö´Â ¸®´ª½º ¸Þ¸ð¸® ¾Õ¿¡ ¼ ÀÖ´Â ¹®Áö±â °°Àº Á¸ÀçÀÔ´Ï´Ù. ÇÏÁö¸¸ ½ºÅà Ŭ·¡½Ã¸¦ °ø°ÝÇÔÀ¸·Î½á ÀÌ ¹®Áö±â¸¦ ÇÇÇØ°¥ ¼ö ÀÖ¾úÁÒ.¡±
½ºÅà Ŭ·¡½Ã Ãë¾àÁ¡À» °ø°ÝÇÏ·Á¸é ¸ÕÀú °ø°Ý ¸ñÇ¥°¡ µÇ´Â ¸®´ª½º ±â±â¿¡ ¹°¸®ÀûÀ¸·Î Á¢±ÙÇØ¾ß ÇÑ´Ù. ±×·± ´ÙÀ½ ½ºÅÃÀ̶ó°í ºÒ¸®´Â Ä¿³Î ¸Þ¸ð¸®ÀÇ ÀϺΠ¿µ¿ªÀ» µ¤¾î¾²±â Çؼ ¸Þ¸ð¸® ü°è¿¡ È¥¶õÀ» ¾ß±âÇÑ´Ù. À̶§ °ø°ÝÀÚ°¡ µ¤¾î¾²±â ´çÇÑ ½ºÅÃÀ» ´Ù¸¥ ¸Þ¸ð¸® ¿µ¿ª°ú Ãæµ¹(clash)ÇÏ°Ô ¸¸µé ¼ö ÀÖ´Ù. Ä÷¸®½ºÀÇ Àü¹®°¡µéÀº ÀÌ Çö»óÀ» È°¿ëÇØ ±ÇÇÑ »ó½Â °ø°ÝÀ» À̾°í, ·çÆ® ±ÇÇѱîÁöµµ Å»ÃëÇÏ´Â µ¥ ¼º°øÇß´Ù.
¿©±â¼ ½ºÅà Ŭ·¡½Ã ÀͽºÇ÷ÎÀÕÀÇ Âü À§Ç輺ÀÌ µå·¯³´Ù. ¹Ù·Î ¡®¿¬¼âÀûÀÎ °ø°Ý¡¯ÀÌ °¡´ÉÇÏ´Ù´Â °ÍÀÌ´Ù. À§¿¡¼ ¡°°ø°ÝÀÚ°¡ ÇÒ ¼ö ÀÖ´Â °ÍÀÌ ¸¹´Ù¡±°í Ä÷¸®½º Ãø¿¡¼ ¼³¸íÇÑ °ÍÀÌ À̸¦ µÎ°í ÇÑ ¸»ÀÌ´Ù. ¡°°ø°ÝÀÚ ÀÔÀå¿¡¼´Â ÀÌ Ãë¾àÁ¡À» ÅëÇØ SQL ÀÎÁ§¼Ç °ø°Ýµµ ÇÒ ¼ö ÀÖ°í, ³×Æ®¿öÅ© ³»¿¡¼ ȾÀûÀ¸·Î ¿òÁ÷¿© ´Ù¸¥ ½Ã½ºÅÛÀ¸·Î ¿Å¾Æ°¥ ¼öµµ ÀÖ½À´Ï´Ù. ¸®´ª½º ±â¹ÝÀÇ ¸ðµç ±â±âµµ ÀÌ °ø°Ý¿¡¼ ÀÚÀ¯·Î¿ï ¼ö ¾ø°í¿ä. °¡´É¼ºÀº ¹«±Ã¹«Áø ÇÕ´Ï´Ù.¡±
¶Ç ´Ù¸¥ º¸¾È ¾÷üÀÎ ·¦ ¸¶¿ì½º ½ÃÅ¥¸®Æ¼(Lab Mouse Security)ÀÇ CEO µ· º£Àϸ®(Don Bailey)´Â ÀÌ·± ½ÄÀÇ ¸Þ¸ð¸® ½Ã½ºÅÛ °ø°ÝÀÌ ÀÌ¹Ì Àü¿¡ ÀÖ´ø °ÍÀ̶ó´Â °É ±â¾ïÇØ¾ß ÇÑ´Ù°í °Á¶ÇÑ´Ù. ¡°Ãë¾àÁ¡À» °ø°³ÇÏ´Â °Ç ´ÙÀ½¿¡µµ ¶È°°Àº °ø°ÝÀ» ¹ÞÁö ¸»¶ó´Â ÀǹÌÀε¥, ¿ÀÈ÷·Á °ø°ÝÀÚµéÀÌ ¡®ÁÁÀº Á¤º¸ °¨»çÇÕ´Ï´Ù¡¯¶ó¸ç ´õ Àß »ç¿ëÇÏ°í ÀÖ¾î¿ä. ÀÌ·± ½ÄÀ̸é Ãë¾àÁ¡À» °ø°³ÇÒ ÇÊ¿ä°¡ ÀÖ±â´Â ÇÑÁö ¸ð¸£°Ú½À´Ï´Ù.¡±
¶ÇÇÑ ´Ù°¡¿À´Â »ç¹°ÀÎÅÍ³Ý ½Ã´ë, ¸®´ª½º°¡ ´Ù½Ã±Ý Áß¿äÇÑ OS°¡ µÇ°í ÀÖÀ¸¸ç, ÀÌ¿¡ ´ëÇÑ °ø°ÝµéÀ» Á» ´õ ÁøÁöÇÏ°Ô ¹Þ¾Æµé¿©¾ß ÇÑ´Ù°í ÁÖÀåÇϱ⵵ ÇÑ´Ù. ¡°¿©Å±îÁö ¹ß°ßµÈ ¹Ù¿¡ µû¸£¸é ½ºÅà Ŭ·¡½Ã °ø°ÝÀº ·ÎÄà ´ÜÀ§¿¡¼¸¸ °¡´ÉÇÑ °ÍÀ¸·Î º¸ÀÔ´Ï´Ù. ÇÏÁö¸¸ ¿ø°Ý °ø°ÝÀÌ ¾Æ¿¹ ºÒ°¡´ÉÇÒ ¼öµµ ¾ø½À´Ï´Ù. ¹°¸®ÀûÀÎ Á¢±ÙÀÌ ÀÖ¾î¾ß¸¸ °ø°ÝÀÌ ¼º¸³ÇÑ´Ù°í Çؼ ¾È½ÉÇÏ°í À־ ¾È µË´Ï´Ù. ²¨Áø ºÒµµ ´Ù½Ã ºÁ¾ß ÇÏ´Â °Ô »ç¹°ÀÎÅÍ³Ý ½Ã´ë·Î Á¢¾îµå´Â ¶§ º¸¾ÈÀÇ Ã¥ÀÓÀÔ´Ï´Ù.¡±
Ä÷¸®½º´Â ½ºÅà Ŭ·¡½Ã Ãë¾àÁ¡¿¡ ´ëÇÑ »ó¼¼ ±â¼ú º¸°í¼µµ ¹ßÇ¥Çß´Ù. ÇØ´ç Ãë¾àÁ¡Àº CVE-2017-1000364À̸ç, CVE-2017-1000365¿Í CVE-2017-1000367°úµµ °ü·Ã¼ºÀÌ ÀÖ´Â °ÍÀ¸·Î ¹àÇôÁ³´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>