Home > Àüü±â»ç

ÄÁÅ×ÀÌ³Ê ¼­ºñ½ºÀΠť¹ö³×Ƽ½º¿¡¼­ °íÀ§Ç豺 Ãë¾àÁ¡ ³ªÅ¸³ª

ÀÔ·Â : 2019-04-02 11:00
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
À۳⿡ ¹ß°ßµÈ °æ·Î Á¶ÀÛ Ãë¾àÁ¡...ÆÐÄ¡µÆÀ¸³ª ºÒ¿ÏÀüÇÏ´Ù´Â °Í ¹ß°ßµÅ
°æ·Î¸¦ Á¶ÀÛÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡...½É°¢ÇÒ °æ¿ì ÀÓÀÇ ÄÚµå ½ÇÇàÀ¸·Î À̾îÁú ¼öµµ


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] Àα⠳ôÀº ¿ÀǼҽº ÄÁÅ×ÀÌ³Ê ½Ã½ºÅÛÀΠť¹ö³×Ƽ½º(Kubernetes)¿¡¼­ ½É°¢ÇÑ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ÀͽºÇ÷ÎÀÕ µÉ °æ¿ì °æ·Î Á¶ÀÛ(path traversal)°ú ÀÓÀÇ ÄÚµå ½ÇÇàÀ» °¡´ÉÇÏ°Ô ÇØÁÖ´Â Ãë¾àÁ¡À̶ó°í ÇÑ´Ù.

[À̹ÌÁö = iclickart]


Áö³­ ÇØ Å¥¹ö³×Ƽ½º¿Í ¿Àǽ¬ÇÁÆ®(OpenShift)¶ó´Â ÄÁÅ×ÀÌ³Ê ¾ÖÇø®ÄÉÀÌ¼Ç Ç÷§ÆûÀÇ °³¹ßÀÚµéÀº °æ·Î Á¶ÀÛ Ãë¾àÁ¡À̶ó°í ¾Ë·ÁÁø CVE-2018-1002100 Ãë¾àÁ¡À» ÆÐÄ¡Çß´Ù. ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇßÀ» ¶§ °ø°ÝÀÚ°¡ ¾Ç¼º ÄÁÅ×À̳ʸ¦ »ç¿ëÇØ ½Ã½ºÅÛ ³» ÀÓÀÇ °æ·Î¿¡ ÀÓÀÇ ÆÄÀÏÀ» ÀÛ¼ºÇÒ ¼ö ÀÖ¾ú´Ù.

±×·¯³ª ÄÁÅ×ÀÌ³Ê º¸¾È Àü¹® ¾÷üÀÎ Æ®À§½ºÆ®¶ô(Twistlock)¿¡ µû¸£¸é À̶§ÀÇ ÆÐÄ¡°¡ ºÒ¿ÏÀüÇß´Ù°í ÇÑ´Ù. µû¶ó¼­ °ø°ÝÀÌ ¿©ÀüÈ÷ À¯È¿ÇÏ´Ù°í Çϸç, À̸¦ Áõ¸í(https://www.twistlock.com/labs-blog/disclosing-directory-traversal-vulnerability-kubernetes-copy-cve-2019-1002101/)Çϱ⵵ Çß´Ù. ÀÌ Ãë¾àÁ¡¿¡´Â »õ·Î¿î CVE ¹øÈ£°¡ ºÎ¿©µÆ´Ù. CVE-2019-1002101·Î, Å¥¹ö³×Ƽ½º °³¹ßÀÚµéÀº 1.11.9, 1.12,7, 1.13.5, 1.14.0 ¹öÀüÀ» ¹ßÇ¥ÇØ ¹®Á¦¸¦ ÇØ°áÇß´Ù. ÇÑÆí CVE-2019-1002101 Ãë¾àÁ¡Àº °íÀ§Ç豺À¸·Î ºÐ·ùµÆ´Ù.

À۳⿡ ¹ß°ßµÈ ¹®Á¦³ª À̹ø ¹®Á¦³ª ¸ðµÎ KubectlÀ̶ó´Â ¸í·ÉÇà ÀÎÅÍÆäÀ̽º¿Í °ü·ÃÀÌ ÀÖ´Ù. ƯÈ÷ ÄÁÅ×À̳ʿ¡¼­ »ç¿ëÀÚÀÇ Àåºñ·Î ÆÄÀÏÀ» º¹»çÇÒ ¶§ »ç¿ëÇÏ´Â cp ¸í·É¾î°¡ ¹®Á¦ÀÇ ÇÙ½ÉÀ̶ó°í ÇÑ´Ù. ¡°º¹»ç°¡ ÁøÇàµÇ´Â °úÁ¤ Áß¿¡ ÄÁÅ×ÀÌ³Ê ¾È¿¡ Ÿ¸£(tar)¶ó´Â ¾ÆÄ«À̺갡 »ý¼ºµË´Ï´Ù. ±×¸®°í ³×Æ®¿öÅ©¸¦ ÅëÇØ º¹Á¦°¡ µÇ°í, »ç¿ëÀÚ Àåºñ ³»·Î ¿Å°ÜÁø ÈÄ, KubectlÀÌ ¾ÐÃàÀ» ÇØÁ¦ÇÕ´Ï´Ù.¡±

ÀÌ °úÁ¤¿¡¼­ °ø°ÝÀÚ°¡ ¾Ç¼º Ÿ¸£ ¹ÙÀ̳ʸ®¸¦ ½ÉÀ» ¼ö ÀÖ´Ù¸é, ÀÓÀÇÀÇ ÆÄÀÏÀ» ½Ã½ºÅÛ ³» ¾Æ¹« À§Ä¡¿¡ ¸¸µé ¼ö ÀÖ°Ô µÈ´Ù°í Æ®À§½ºÆ®¶ôÀº ¼³¸íÇÑ´Ù. ¡°ÀÌ°ÍÀº ÀÏÁ¾ÀÇ °æ·Î Á¶ÀÛ Ãë¾àÁ¡Àε¥, À̸¦ ÅëÇØ ¹Î°¨ÇÑ Á¤º¸¸¦ ÈÉÃij»´Â °Ô °¡´ÉÇÕ´Ï´Ù. ƯÈ÷ Kubectl »ç¿ëÀÚµéÀÇ Á¤º¸°¡ À§ÇèÇѵ¥, °³¹ßÀÚ, °ü¸®ÀÚ, µ¥ºê¿É½º ÆÀ ±¸¼º¿øµéÀÌ ¿©±â¿¡ ÇØ´çµÇ´Â °Ô º¸ÅëÀÔ´Ï´Ù.¡±

¶ÇÇÑ KubectlÀÇ ½Ã½ºÅÛ ³» ±ÇÇÑ¿¡ µû¶ó ÀÓÀÇÀÇ Äڵ带 ½ÇÇàÇÏ´Â °Íµµ °¡´ÉÇÏ´Ù°í ÇÑ´Ù. ¡°¸¸¾à KubectlÀÌ ·çÆ®¿¡¼­ ½ÇÇàµÇ°í ÀÖ´Ù¸é °ø°ÝÀÚ°¡ ¼³Á¤ ³»¿ëÀ» ½±°Ô Á¶ÀÛÇÒ ¼ö ÀÖ½À´Ï´Ù. ½Ã½ºÅÛ ºÎÆà ½Ã ½ÇÇàµÇ´Â ½Ã½ºÅÛ ÆÄÀϵ鵵 ½±°Ô ¹Ù²Ü ¼ö ÀÖ°í¿ä.¡± ÇÏÁö¸¸ KubectlÀº º¸Åë »ç¿ëÀÚ ±ÇÇÑÀ¸·Î ½ÇÇàµÈ´Ù. ±×·¡¼­ ÄÚµå ½ÇÇàÀº ´ëºÎºÐÀÇ °æ¿ì ¾î·Á¿ï ¼ö ÀÖ´Ù.

Æ®À§½ºÆ®¶ôÀº °ø°Ý ½Ã³ª¸®¿ÀÀÇ ¿¹¸¦ ´ÙÀ½°ú °°ÀÌ Á¦½ÃÇß´Ù. ¡°»ç¿ëÀÚ°¡ ¾Æ¹«°Íµµ ¸ð¸¥ ä ¾Ç¼º Ÿ¸£°¡ Æ÷ÇԵǾî ÀÖ´Â ¾Ç¼º ÄÁÅ×ÀÌ³Ê À̹ÌÁö¸¦ ´Ù¿î·Îµå ÇÏ°Ô ¸¸µé ¼ö ÀÖ½À´Ï´Ù. °ø°ÝÀÚ ÀÔÀå¿¡¼­´Â ŸÀÌÆ÷½ºÄõÆà °ø°Ý ±â¹ý µîÀ» È°¿ëÇØ ¾Ç¼º À̹ÌÁö¸¦ »ç¿ëÀÚ°¡ ´Ù¿î·Îµå ¹Þµµ·Ï ÇÒ ¼ö ÀÖ½À´Ï´Ù. Àα⠳ôÀº À̹ÌÁö¸¦ ½½Â½ ¹Ù²ãÄ¡±â ÇÒ ¼öµµ ÀÖ°í¿ä.¡±

½Ã³ª¸®¿À´Â ¶Ç ÀÖ´Ù. ¡°°ø°ÝÀÚ°¡ ¶Ç ´Ù¸¥ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ Çϰųª, ÄÁÅ×À̳ʷΠÁ¤»óÀûÀÎ Á¢±Ù ±ÇÇÑÀ» °¡Áö°í ÀÖÀ» ¶§, ¾Ç¼º Ÿ¸£¸¦ ¿ø·¡ Ÿ¸£¿Í ¹Ù²ãÄ¡±â ÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ÄÁÅ×À̳ʷΠÁ¢±ÙÇÒ ¼ö ÀÖ´Â Á¤º¸¸¦ ã¾Æ³»´Â °Ç °ø°ÝÀڵ鿡°Ô ±×¸® ¾î·Á¿î ÀÏÀÌ ¾Æ´Õ´Ï´Ù.¡± Æ®À§½ºÆ®¶ôÀÇ ¿¬±¸¿øÀÎ ¾Æ¸®¿¤ Á©¸®¹Ý½ºÅ°(Ariel Zelivansky)ÀÇ ¼³¸íÀÌ´Ù.

¡°°ø°ÝÀÚÀÇ ±â¼ú·ÂÀÌ ¶Ù¾î³ª´Ù¸é ¾Ç¼º Ÿ¸£ ¼Ó¿¡ ¿ø·¡ ¿äûµÈ ÆÄÀϵ鵵 Áý¾î³Ö¾î ÀÚ½ÅÀÇ Àǵµ¸¦ ¼û±â´Â °Íµµ °¡´ÉÇÕ´Ï´Ù. ȤÀº ½É¸µÅ©(symlink) ÆÄÀÏÀ» ´åÆÄÀÏ(dotfile)·Î º¯È¯½ÃÄÑ °ø°ÝÀÌ ´«¿¡ ¶çÁö ¾Ê°Ô ¸¸µé ¼öµµ ÀÖ½À´Ï´Ù.¡±

3ÁÙ ¿ä¾à
1. ¿ÀǼҽº ÄÁÅ×ÀÌ³Ê Ç÷§ÆûÀΠť¹ö³×Ƽ½º¿¡¼­ °íÀ§Ç豺 Ãë¾àÁ¡ ¹ß°ßµÊ.
2. °æ·Î Á¶ÀÛÀ» °¡´ÉÄÉ ÇØÁÖ´Â °ÍÀ¸·Î, Àß °ø°ÝÇϸé ÀÓÀÇ ÆÄÀÏÀ» »ý¼ºÇÒ ¼ö ÀÖ°Ô µÊ.
3. ÄÁÅ×ÀÌ³Ê À̹ÌÁö ¹ÞÀ» ¶§ ŸÀÌÇÎ ¿À·ù ³»Áö ¾Ê°í, Ãâó È®ÀÎÇÏ´Â °Ô Áß¿äÇÔ.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)