¾ÆÀ̽ºÄ³½ºÆ® ³» µðµµ½º ¹æÁö ÇÔ¼ö·Î ÀÎÇØ ¿ÀÈ÷·Á µðµµ½º °¡´ÉÇØÁö´Â »óȲ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¿Â¶óÀÎ ¶óµð¿À ¹æ¼Û±¹µé¿¡¼ ³Î¸® »ç¿ëÇÏ°í ÀÖ´Â ¿ÀǼҽº ½ºÆ®¸®¹Ö ¹Ìµð¾î ¼¹öÀÎ ¾ÆÀ̽ºÄ³½ºÆ®(Icecast)¿¡¼ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì ¶óµð¿À ¹æ¼ÛÀÌ Áß´ÜµÉ ¼ö ÀÖÀ¸¸ç, ¿ø°Ý ÄÚµå ½ÇÇ൵ °¡´ÉÇÏ°Ô ¸¸µç´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
¾ÆÀ̽ºÄ³½ºÆ®´Â Xiph.org Àç´Ü(Xiph.org Foundation)¿¡¼ ÇöÀç ¹èÆ÷ ¹× À¯Áö, º¸¼öÇÏ´Â ¿ÀǼҽº·Î, MP3´Â ¹°·Ð ´Ù¾çÇÑ ¿Àµð¿À ¹× ¿µ»ó ½ºÆ®¸² ¼ºñ½º ¼ö¸¸ °³¸¦ Àü ¼¼°èÀûÀ¸·Î Áö¿øÇÏ°í ÀÖ´Ù. °ø°ø ¹æ¼Û±¹º¸´Ù´Â °³ÀÎ ¶óµð¿À ¹æ¼Û±¹À̳ª °³ÀÎ ÁÖÅ©¹Ú½º¿Í ¸¹ÀÌ °áÇÕµÇ¾î »ç¿ëµÈ´Ù.
ÃÖ±Ù ¹ß°ßµÈ Ãë¾àÁ¡Àº CVE-2018-18820À¸·Î ¾ÆÀ̽ºÄ³½ºÆ® Äڵ忡¼ »ç¿ëµÇ°í ÀÖ´Â URL ÀÎÁõ ±â´É ³»¿¡ Á¸ÀçÇÑ´Ù. ¾ÆÀ̽ºÄ³½ºÆ®´Â URL ÀÎÁõÀ» À§ÇØ snprintf¶ó´Â ÇÔ¼ö¸¦ »ç¿ëÇϴµ¥, À̸¦ ÅëÇØ ¹öÆÛ ¿À¹öÇÃ·Î¿ì ¹®Á¦¸¦ »çÀü¿¡ ¸·´Â´Ù°í ÇÑ´Ù. snprintf°¡ ¹öÆÛ¿¡ ÀÛ¼ºµÉ ¼ö ÀÖ´Â ±ÛÀÚ ÃÖ´ë ¼ö¸¦ ÁöÁ¤ÇÒ ¼ö ÀÖ°Ô ÇØÁֱ⠶§¹®ÀÌ´Ù. ¶ÇÇÑ ³Ê¹« ±æ °æ¿ì ¹®ÀÚ¿À» ÀÚµ¿À¸·Î À߶óÁֱ⵵ ÇÑ´Ù.
ÇÏÁö¸¸ ¹®Á¦´Â ¾ÆÀ̽ºÄ³½ºÆ®°¡ ÀÌ snprintf¸¦ µµÀÔÇÏ°í ÀÖ´Â ¹æ½Ä¿¡ ÀÖ´Ù. ÀÌ ¹®Á¦¸¦ ¹ß°ßÇÑ º¸¾È Àü¹® ¾÷ü ¼¼¹É ½ÃÅ¥¸®Æ¼(Semmle Security)¿¡ ÀÇÇÏ¸é ¡°¾ÆÀ̽ºÄ³½ºÆ® Äڵ忡´Â Å©±â¿Í °ü·ÃµÈ ¾Æ±Ô¸ÕÆ®ÀÎ [character limit]ÀÌ Àִµ¥, ÀÌ°Ô ¹öÆÛÀÇ ½ÇÁ¦ Å©±âº¸´Ù ´õ Å©´Ù¡±°í ¼³¸íÇÑ´Ù. ¶Ç, ¡°snprintf°¡ ÀÚµ¿À¸·Î ¹®ÀÚ¿À» Àß¶ó³¾ ¶§, snprintf°¡ ÀÛ¼ºÇÑ ¹ÙÀÌÆ®ÀÇ ¼ö¿¡ ´ëÇÑ Á¤º¸´Â µÇµ¹·ÁÁÖÁö ¾Ê½À´Ï´Ù. ¿ÀÈ÷·Á ¾Æ¿ôDz ¹öÆÛ°¡ ÃæºÐÇÑ Å©±âÀÏ ¶§ °á°ú·Î ³ª¿Ã ¹ýÇÑ ¹ÙÀÌÆ®ÀÇ ¼ö¸¦ µÇµ¹·ÁÁÖÁÒ.¡±
¹«½¼ ¸»Àϱî? ´©±º°¡ À§ Ư¼ºÀ» ¸ðµÎ ¹ßµ¿½Ãų ¼ö ÀÖµµ·Ï Ư¼öÇÏ°Ô Á¶ÀÛµÈ ±ä ¹®ÀÚ¿À» HTTP Çì´õ¿¡ Æ÷ÇÔ½ÃÄѼ º¸³½´Ù¸é, ¹öÆÛ ¿À¹öÇ÷ο찡 ¹ß»ýÇÏ¸é¼ ¼¹öÀÇ ½ºÅà ÄÜÅÙÃ÷°¡ µ¤¾î¾²±â µÈ´Ù´Â ¶æÀÌ´Ù. ÀÌ·± »óÅ°¡ µÇ¸é ÀÌ·ÐÀûÀ¸·Î ¿ø°Ý ÄÚµå ½ÇÇ൵ °¡´ÉÇÏ°Ô µÈ´Ù.
¡°ÄÚµåÀÇ Ãë¾àÇÑ ºÎºÐÀº »ç¿ëÀÚ ¿äûÀ» ¹Þ°í HTTP Çì´õµéÀ» ·çÇÎÇÕ´Ï´Ù. ±×·¯°í ³ª¼ ¹öÆÛ¿¡ º¹»çÇÏÁÒ. ÀÌ·¸°Ô Çؼ POST ¿äûÀÇ º»¹®À» ¸¸µå´Â °ÍÀÔ´Ï´Ù. ±×·± ÈÄ¿¡´Â À̸¦ ÀÎÁõ ¼¹ö·Î º¸³À´Ï´Ù. ÀÌ °úÁ¤¿¡¼ ´©±º°¡ ±ä HTTP Çì´õ¸¦ Çϳª º¸³»¸é ÀÚµ¿À¸·Î snprintf¿¡ ÀÇÇØ ¾ÕµÚ°¡ À߸³´Ï´Ù. ±×·¯³ª ÀÌ ±æÀÌ ÀÚü·Î È®º¸µÈ Ãß°¡ ¹ÙÀÌÆ® ´öºÐ¿¡ °ø°ÝÀÚ°¡ ¼±ÅÃÇÑ ½ºÅà ³»¿¡¼ ¾îµðµçÁö À§Ä¡¸¦ ÀâÀ» ¼ö°¡ ÀÖ°Ô µË´Ï´Ù. ÀÌ ¶§ µÎ ¹ø° HTTP Çì´õ¸¦ ù ¹ø° °ø°Ý ¶§ ÀâÀº À§Ä¡·Î º¸³¾ ¼ö ÀÖ½À´Ï´Ù.¡±
ÀÌ ¹®Á¦´Â ¾ÆÀ̽ºÄ³½ºÆ® 2.4.0ºÎÅÍ 2.4.3 ¹öÀü¿¡±îÁö ¿µÇâÀ» ÁØ´Ù. Ãë¾àÁ¡¿¡ ´ëÇÑ ±â¼úÀû Á¤º¸¿Í °³³äÁõ¸í ÄÚµå´Â 10¿ù 16ÀÏ Xiph ÃøÀ¸·Î Àü´ÞµÈ »óȲÀÌ´Ù. Xiph´Â ÀÌ º¸°í¸¦ ¹Þ°í Ãë¾àÁ¡ÀÌ ÀÖÀ½À» ÀÎÁ¤ÇßÀ¸¸ç, 2ÁÖ ÈÄÀÎ 11¿ù 1ÀÏ ÆÐÄ¡µÈ ¹öÀüÀÎ 2.4.4¸¦ ¹èÆ÷Çϱ⠽ÃÀÛÇß´Ù.
ÇÏÁö¸¸ ¾ÆÀ̽ºÄ³½ºÆ®¸¦ »ç¿ëÇÏ´Â ¶óµð¿À ÁøÇàÀÚµéÀº ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ ¿ì·Á ¶§¹®¿¡ ¼ºñ½º »ç¿ëÀ» ÁÙÀ̱⠽ÃÀÛÇß´Ù. ÀÌ¿¡ ¾ÆÀ̽ºÄ³½ºÆ®´Â ¡°À̹ø¿¡ ¹ß°ßµÈ Ãë¾àÁ¡ÀÌ ½ÇÁ¦·Î ÀͽºÇ÷ÎÀÕ °¡´ÉÇÏ´Ù°í º¸±â Èûµé´Ù¡±°í ¹ßÇ¥Çß´Ù. ¡°°ø°Ý¿¡ ¼º°øÇÏ·Á¸é ¾Ç¼º URL ÀÎÁõ ¼¹ö(¹é¿£µå¿¡ ÀÖ´Â ¼¹ö)°¡ Á¶ÀÛµÈ ÆäÀ̷ε带 Àü¼ÛÇϵµ·Ï ¸¸µé¾î¾ß ÇÕ´Ï´Ù. ½¬¿î ÀÏÀÌ ¾Æ´Õ´Ï´Ù.¡±
¼¼¹É ½ÃÅ¥¸®Æ¼ Ãøµµ ¾î´À Á¤µµ µ¿ÀÇÇÏ°í ÀÖ´Ù. ¡°°ø°ÝÀÚ°¡ ÇÒ ¼ö ÀÖ´Â ÀÏÀÌ ±ØÈ÷ Á¦ÇÑÀûÀÌ°í, °ø°ÝÀ» ¼º°ø½Ãų ¼ö ÀÖ´Â ¹æ¹ýµµ ±×¸® ´Ù¾çÇÏÁö ¾Ê½À´Ï´Ù. ±×·¡¼ Á¤¸»·Î ±ä±ÞÇÏ°í ½ÇÁúÀûÀÎ À§ÇùÀ̶ó°í ¸»Çϱâ´Â ¾î·Æ½À´Ï´Ù.¡±
´Ù¸¸ ¡°´©±º°¡ ÇÑ ¹æ¼Û±¹ ¿î¿µÀÚ¿¡ ´ëÇÑ ¾öû³ ¹Ì¿òÀ̳ª ºÐ¸íÇÑ ¸ñÀûÀ» °¡Áö°í ÀÖ´Ù¸é(Áï, ÃæºÐÇÑ µ¿±â°¡ ÀÖ´Ù¸é) ¾ó¸¶µçÁö È°¿ëÀÌ °¡´ÉÇÏ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°Æ¯È÷ ´Ù¸¸ ¹æ¼Û Áß´Ü »çŸ¦ ³Ñ¾î ½Ã½ºÅÛ ¿ø°Ý ÄÚµå ½ÇÇàÀ¸·Î±îÁö À̾îÁú ¼ö ÀÖ´Ù´Â °Ç ²Ï³ª À§ÇèÇÒ ¼ö ÀÖ´Â ºÎºÐÀÔ´Ï´Ù. °ø°ÝÀÌ ¾î·Æ´Ù°í ±×³É ³Ñ¾î°¥ ¼ºÁúÀÇ Ãë¾àÁ¡Àº ¾Æ´Ï¶ó°í º¾´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. °³ÀÎ ¶óµð¿À ¹æ¼Û±¹ °¡´ÉÄÉ ÇØÁÖ´Â Ç÷§Æû ¾ÆÀ̽ºÄ³½ºÆ®¿¡¼ Ãë¾àÁ¡ ¹ß°ß.
2. Ãë¾àÁ¡ ¾Ç¿ëÇÏ¸é µðµµ½º °ø°Ý °¡´ÉÇÏ°í, ¿ø°Ý ÄÚµå ½ÇÇàÀ¸·Îµµ À̾îÁú ¼ö ÀÖÀ½.
3. °ø°Ý ½ÇÇà °¡´É¼º ³ôÁö ¾ÊÁö¸¸, °ø°ÝÀÚÀÇ µ¿±â°¡ ºÐ¸íÇÏ´Ù¸é ÃæºÐÈ÷ °¡´É.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>