·¦Å° ¼¹öÀÇ »ç¿ëÀÚ Å©¸®µ§¼È°ú, ÀÇ·á ¿¬±¸ µ¥ÀÌÅÍ Å»Ãë ¹× Á¶ÀÛ °¡´É
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] Àα⠳ôÀº ¿ÀǼҽº ÀÇ·á µ¥ÀÌÅÍ Çù¾÷ Åø¿¡¼ Ãë¾àÁ¡ÀÌ ¼¼ °³³ª ¹ß°ßµÆ´Ù. ÀÌ ¶§¹®¿¡ Áß¿äÇÑ ÀÇ·á °Ç° °ü·Ã ¿¬±¸ µ¥ÀÌÅÍ°¡ XSS °ø°ÝÀ» ÅëÇØ À¯ÃâµÉ ¼ö ÀÖ´Ù´Â »ç½ÇÀÌ µå·¯³µ´Ù. ¶ÇÇÑ »ç¿ëÀÚ Å©¸®µ§¼ÈÀ» ³ë¸®´Â °ø°Ýµµ °¡´ÉÇϱ⠶§¹®¿¡ ²Ï³ª Ä¡¸íÀûÀÎ Ãë¾àÁ¡µéÀ̶ó°í ÆÇ¸í³µ´Ù.
[À̹ÌÁö = iclickart]
À̸¦ ¹ß°ßÇÑ °Ç º¸¾È ¾÷ü Å׳ʺí(Tenable)À̸ç, ¹®Á¦°¡ µÈ °Ç ·¦Å° ¼¹ö Ä¿¹Â´ÏƼ ¿¡µð¼Ç(LabKey Server Community Edition) 18.2-60106.64 ¹öÀüÀÌ´Ù. ÀÎÁõ ¹ÞÁö ¾ÊÀº °ø°ÝÀÚ°¡ ¿ø°Ý¿¡¼ ºê¶ó¿ìÀú¸¦ ÅëÇØ ÀÓÀÇÀÇ Äڵ带 ½ÇÇà½ÃÅ°°Å³ª, ¿ÀÇ ¸®´ÙÀÌ·ºÆ®¸¦ ¸¸µé¾î »ç¿ëÀÚµéÀÌ ¾Ç¼º URL·Î Á¢¼ÓÇÏ°Ô ¸¸µé°Å³ª ¾Ç¼º ³×Æ®¿öÅ© µå¶óÀ̺긦 ¸ÅÇÎÇÒ ¼ö ÀÖ°Ô ÇØÁØ´Ù.
¡°°ø°ÝÀÚ´Â ÇÇÇØÀÚ°¡ ·¦Å° ½Ã½ºÅÛ¿¡¼ ÇÒ ¼ö ÀÖ´Â ¸ðµç ÀÏÀ» Àڽŵµ ÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ¿Ö³ÄÇÏ¸é °á±¹ À̵éÀº ÇÇÇØÀÚÀÇ Å©¸®µ§¼È·Î, ÇÇÇØÀÚó·³ Á¢¼ÓÇÒ ¼ö ÀÖ°Ô µÇ±â ¶§¹®ÀÔ´Ï´Ù.¡± Å׳ʺíÀÇ ¼ö¼® ¿¬±¸ ¿£Áö´Ï¾îÀÎ Á¦ÀÌÄß º£ÀÎÁî(Jacob Baines)ÀÇ ¼³¸íÀÌ´Ù. º£ÀÎÁî´Â ¡°±×·¯¹Ç·Î ÇâÈÄ ÀÇ·á ÇàÀ§¿¡ ¿¬°áÀÌ µÉ ¼ö ÀÖ´Â ¿¬±¸ µ¥ÀÌÅ͸¦ Á¶ÀÛÇÏ´Â ÀϱîÁö °¡´ÉÇÏ°Ô µË´Ï´Ù.¡±
·¦Å° ¼¹ö´Â ÀÇ·á°è¿¡¼ ¿¬±¸¸¦ ÁøÇàÇÏ´Â Àü¹®°¡¿Í °úÇÐÀÚµéÀÌ ¿¬±¸ °á°ú¿Í µ¥ÀÌÅ͸¦ °øÀ¯ÇÔÀ¸·Î½á Çù¾÷À» ÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â ¼ÒÇÁÆ®¿þ¾î´Ù. µû¶ó¼ µ¥ÀÌÅÍ ÀúÀå¼ÒÀÇ ¿ªÇÒµµ ÇÑ´Ù. ÀÌ µ¥ÀÌÅÍ´Â À¥À» ±â¹ÝÀ¸·Î, Äõ¸®, º¸°í, Çù¾÷ µî¿¡ »ç¿ëµÈ´Ù. ¼¼°è °÷°÷ÀÇ °ø°ø ÀÇ·á ±â°ü, ¿¬±¸¼¾ÅÍ, ´ëÇÐ ±â°ü µî¿¡¼ ·¦Å° ¼¹ö¸¦ »ç¿ëÇÑ´Ù.
¡°¼î´ÜÀ¸·Î °Ë»öÀ» Çغ¸¸é ÀÎÅͳݿ¡ ¿¬°áµÈ ·¦Å° ¼¹öµéÀ» ²Ï³ª ã¾Æº¼ ¼ö ÀÖ½À´Ï´Ù. ¶§¹®¿¡ °ø°Ý Ç¥¸éÀÌ ±²ÀåÈ÷ ³Ð¾îÁú ¼ö ÀÖ´Â »óȲÀÔ´Ï´Ù.¡± º£ÀÎÁîÀÇ ¼³¸íÀÌ´Ù. ¡°·¦Å° ¼¹öµéÀº X-LAB-CSRF¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Â ¼ÂÄíÅ°(Set-Cookie) Çì´õ¸¦ °¡Áö°í ÀÖ¾î ´«¿¡ È® ¶ë´Ï´Ù.¡±
Ãë¾àÁ¡ ¼¼ °¡ÁöÀÇ ¼¼ºÎ »çÇ×
ù ¹ø° Ãë¾àÁ¡Àº CVE-2019-3911·Î, ÀÔ·Â °ªÀ» Á¦´ë·Î È®ÀÎÇÏÁö ¾Ê±â ¶§¹®¿¡ ¹ß»ýÇÏ´Â XSS ¿À·ùÀÇ ÀÏÁ¾ÀÌ´Ù. ¡°ÀÌ Ãë¾àÁ¡À» ¾Ç¿ëÇÒ °æ¿ì °ø°ÝÀÚ´Â »ç¿ëÀÚÀÇ ºê¶ó¿ìÀú¶ó´Â ÄÜÅؽºÆ® ¾È¿¡¼ ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ÀÌ °ø°ÝÀº ÀÎÁõÀ» ÇÑ »óÅ¿¡¼¿Í ÀÎÁõÀ» ÇÏÁö ¾ÊÀº »óÅ¿¡¼ ¸ðµÎ °¡´ÉÇÕ´Ï´Ù.¡±
µÎ ¹ø° Ãë¾àÁ¡Àº CVE-2019-3912·Î, returnUrl ÇÔ¼ö¿¡¼ ¹ß»ýÇÏ´Â ¿ÀÇ ¸®µð·ºÆ®(open redirects) ¿À·ù´Ù. À̸¦ ¾Ç¿ëÇÏ¸é °ø°ÝÀÚµéÀÌ »ç¿ëÀÚµéÀ» ƯÁ¤ À§Ä¡·Î ¿ìȸ½Ãų ¼ö ÀÖ°Ô ÇØÁØ´Ù. °ø°ÝÀÚ´Â ¾Ç¼º ÄÚµå µîÀ» È£½ºÆÃÇÔÀ¸·Î½á Ãß°¡ °ø°ÝÀ» ¼º°ø½Ãų ¼ö ÀÖ°Ô µÈ´Ù.
¸¶Áö¸· Ãë¾àÁ¡Àº CVE-2019-3913À¸·Î, ·¦Å° ¼¹öÀÇ ³×Æ®¿öÅ© µå¶óÀ̺꿡 ÀÖ´Â ³í¸® ¿À·ù´Ù. ÀͽºÇ÷ÎÀÕÀ» ÇÏ·Á¸é °ø°ÝÀÚ°¡ °ü¸®ÀÚ Á¢±Ù ±ÇÇÑÀ» °¡Áö°í ÀÖ¾î¾ß ÇÑ´Ù. ¡°³×Æ®¿öÅ© µå¶óÀ̺긦 ¸í·ÉÇà¿¡¼ºÎÅÍ ¸ÅÇÎÇÒ ¶§, mount() ÇÔ¼ö¿¡¼ ¿À·ù°¡ ¹ß»ýÇÕ´Ï´Ù. À̸¦ ¾Ç¿ëÇÏ¸é °ø°ÝÀÚ°¡ ¾Ç¼º µå¶óÀ̺긦 ¼¹ö¿¡ ¸¶¿îÆ® ½Ãų ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
º£ÀÎÁî¿¡ ÀÇÇϸé CVE-2019-3911°ú CVE-2019-3912°¡ ƯÈ÷³ª À§ÇèÇÑ Ãë¾àÁ¡À̶ó°í ¼³¸íÇÑ´Ù. ±×·¸±â ¶§¹®¿¡ ÀÌ µÎ °¡Áö Ãë¾àÁ¡ÀÌ º¸´Ù °ø°Ý¿¡ ¸¹ÀÌ ¾Ç¿ëµÉ ¼ÒÁö°¡ ³ô´Ù°í ÇÑ´Ù. ¡°Á¦°¡ °ø°ÝÀÚ¶ó¸é °¡Â¥ ·Î±×ÀÎ ÆäÀÌÁö¸¦ ¸¸µé¾î¼ CVE-2019-3912¸¦ ÀͽºÇ÷ÎÀÕ ÇÒ °Í °°½À´Ï´Ù. »ç¿ëÀÚ¸¦ °¡Â¥ ·Î±×ÀÎ ÆäÀÌÁö·Î À̲ô´Â µ¥ ¼º°øÇß´Ù¸é, Å©¸®µ§¼ÈÀ» Å»ÃëÇØ ÁøÂ¥ ·¦Å°¿¡ ÁøÂ¥ »ç¿ëÀÚó·³ Á¢¼ÓÇÒ ¼ö ÀÖ°Ô µÇ°ÚÁÒ.¡±
±×·¯¸é¼ º£ÀÎÁî´Â ¡°CVE-2019-3911ÀÇ °æ¿ì °ø°ÝÀÚ°¡ ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ¸¸µé°í, ÀÌ¿Í ¿¬°áµÇ´Â ¾Ç¼º ¸µÅ©¸¦ ÅëÇØ »ç¿ëÀÚÀÇ ºê¶ó¿ìÀú¿¡ »ðÀÔÇÑ ÈÄ ½ÇÇà½ÃÅ°´Â °Ô °¡´ÉÇÏ´Ù¡±°í ¼³¸íÇÑ´Ù. ¡°·¦Å°¿¡ ·Î±×ÀÎ ÇÑ »ç¿ëÀÚ°¡ ÀÌ ¾Ç¼º ¸µÅ©¸¦ Ŭ¸¯ÇÏ°Ô µÇ¸é, ÀÚ¹Ù½ºÅ©¸³Æ®°¡ ½ÇÇàµÇ°í »ç¿ëÀÚÀÇ Äí±â¸¦ °ø°ÝÀÚ¿¡°Ô º¸³¾ ¼ö ÀÖ°Ô µË´Ï´Ù. »ç¿ëÀÚÀÇ sessionID¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°Ô µÇ´Â °ÍÀÌÁÒ.¡±
·¦Å° ¼¹ö ÃøÀº 18.3.0-61806.763 ¹öÀüÀ» 1¿ù 16ÀÏ¿¡ ¹ßÇ¥Çß´Ù. À§ ¼¼ °¡Áö Ãë¾àÁ¡ ¸ðµÎ ÇØ°áµÈ ¹öÀüÀÌ´Ù.
3ÁÙ ¿ä¾à
1. ÀÇ·á ¿¬±¸ÀÚµéÀÇ Çù¾÷ ¼ÒÇÁÆ®¿þ¾î ·¦Å° ¼¹ö¿¡¼ ¼¼ °¡Áö Ãë¾àÁ¡ ¹ß°ßµÊ.
2. CVE-2019-3911, CVE-2019-3912, CVE-2019-3913.
3. »ç¿ëÀÚÀÇ Å©¸®µ§¼È Å»ÃëÇÑ µÚ ·¦Å° ¼¹ö¿¡ ÀúÀåµÈ Á¤º¸¸¦ Á¶ÀÛÇÒ ¼ö ÀÖ°Ô ÇØÁÜ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>