Á¤º¸ ³ëÃâ, ÄÚµå ½ÇÇà ¾ß±âÇÏ´Â Ãë¾àÁ¡µµ ´Ù¼ö...¸áÆ®´Ù¿î°ú ½ºÆåÅÍ ¿Ïȵµ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¿£ºñµð¾Æ(NVIDIA)°¡ À̹ø ÁÖ Å×±×¶ó ¸®´ª½º µå¶óÀ̹ö ÆÐÅ°Áö(Tegra Linux Driver Package, L4T)¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡ ´Ù¼ö¿¡ ´ëÇÑ ÆÐÄ¡¸¦ °ø°³Çß´Ù. ÀÌ Ãë¾àÁ¡µé Áß ÀϺδ °íÀ§Ç豺¿¡ ¼ÓÇÒ Á¤µµ·Î À§ÇèÇÏ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
±×Áß °¡Àå ½É°¢ÇÑ ¹ö±×´Â CVE-2018-6269ÀÎ °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. Åױ׶ó Ä¿³Î µå¶óÀ̹ö¿¡ ÀÖ´Â Ãë¾àÁ¡À¸·Î CVSS Á¡¼ö 8.8Á¡À» ¹Þ¾Ò´Ù. »ç¿ëÀÚ ¸ðµå ¿äûµéÀÇ ÀÔ·Â °ª°ú Ãâ·Â °ªÀ» ÅëÁ¦ÇÏ´Â ±â´É(IOCTL)¿¡ ¿µÇâÀ» ÁÖ¸ç, ºñ½Å·Ú Æ÷ÀÎÅÍ ¿ªÂüÁ¶(non-trusted pointer dereference)¸¦ ÅëÇØ Á¤º¸ ³ëÃâ, µðµµ½º, ±ÇÇÑ »ó½Â, ÄÚµå ½ÇÇà µîÀ» ¾ß±âÇÑ´Ù.
±× ´ÙÀ½À¸·Î ½É°¢ÇÑ Ãë¾àÁ¡Àº CVE-2017-6278·Î, CVSS Á¡¼ö 8.4Á¡À» ¹Þ¾ÒÀ¸¸ç Åױ׶ó Ä¿³ÎÀÇ ÄÚ¾î(CORE) µ¿Àû Àü¾Ð ¹× ÁÖÆļö Á¦¾î ¿ µå¶óÀ̹ö¿¡ Á¸ÀçÇÑ´Ù. ¹öÆÛ°¡ Á¾·áµÈ ÈÄ ¸Þ¸ð¸® À§Ä¡¸¦ ÂüÁ¶ÇÏ´Â Æ÷ÀÎÅͳª »öÀÎÀ» »ç¿ëÇØ ¹öÆÛ¸¦ Àаųª ¾µ ¼ö ÀÖ°Ô ÇØÁÖ´Â °ÍÀÌ Ãë¾àÁ¡ÀÇ ¼Ó¼ºÀε¥, ÀÌ ¶§¹®¿¡ µðµµ½º °ø°ÝÀ̳ª ±ÇÇÑ »ó½ÂÀÌ °¡´ÉÇÏ°Ô µÈ´Ù°í ÇÑ´Ù.
CVE-2018-6267À̶ó´Â Ãë¾àÁ¡µµ 8.4Á¡À̶ó´Â ³ôÀº Á¡¼ö¸¦ ¹Þ¾Ò´Ù. Åױ׶ó ¿ÀǸƽº(OpenMax) µå¶óÀ̹öÀÎ libnvomx¿¡¼ ¹ß°ßµÆÀ¸¸ç, »ç¶óÁø »ç¿ëÀÚ ¸ÞŸµ¥ÀÌÅÍ È®ÀÎ °úÁ¤¿¡¼ ºÎÀûÀýÇÑ ¸ÞŸµ¥ÀÌÅÍ°¡ Åë°úµÇ´Â ÀÏÀÌ ¹ß»ýÇϵµ·Ï ÇÑ´Ù. ÀÌ ¶§¹®¿¡ µðµµ½º °ø°ÝÀ» ¹ÞÀº °Íó·³ ½Ã½ºÅÛ ¸¶ºñ Áõ»óÀÌ ¿À°Å³ª ±ÇÇÑ »ó½ÂÀÌ °¡´ÉÇÏ°Ô µÈ´Ù.
¶Ç ´Ù¸¥ °íÀ§Ç豺 Ãë¾àÁ¡À¸·Î´Â CVE-2018-6271ÀÌ ÀÖ´Ù. ¿ª½Ã 8.4Á¡À» ¹Þ¾Ò´Ù. Åױ׶ó ¿ÀǸƽº µå¶óÀ̹ö ³»¿¡ À§Ä¡ÇÏ°í ÀÖÀ¸¸ç, À߸øµÈ ÀÔ·Â °ªÀ» Á¦´ë·Î ó¸®ÇÏÁö ¾Ê¾Æ ¿©·¯ °¡Áö ¹®Á¦¸¦ ¹ß»ý½ÃŲ´Ù. ÀÌ¿¡ ÇÁ·Î±×·¥ ³» µ¥ÀÌÅÍÀÇ È帧ÀÌ Á¦´ë·Î ¼º¸³µÇÁö ¾Ê¾Æ ½Ã½ºÅÛÀÌ ¸¶ºñµÇ°Å³ª ±ÇÇÑ »ó½Â °ø°ÝÀÌ °¡´ÉÇÏ°Ô µÈ´Ù.
±× ¿Ü¿¡µµ ¡®Á߿䡯 µî±ÞÀ» ¹ÞÀº Ãë¾àÁ¡µéÀÌ ÀÖ´Ù. Åױ׶ó Ä¿³Î µå¶óÀ̹öÀÇ ARM ½Ã½ºÅÛ ¸Þ¸ð¸® °ü¸® À¯´Ö(SMMU)¿¡¼ ¹ß°ßµÈ CVE-2019-5673ÀÇ °æ¿ì, µðµµ½º °ø°ÝÀ» °¡´ÉÇÏ°Ô ÇÑ´Ù. Åױ׶ó ¿ÀǸƽº µå¶óÀ̹ö¿¡¼ ¹ß°ßµÈ CVE-2018-6268 Ãë¾àÁ¡ÀÇ °æ¿ì´Â µðµµ½º °ø°Ý°ú ±ÇÇÑ »ó½Â °ø°ÝÀ» °¡´ÉÇÏ°Ô ÇÑ´Ù.
±× ¿Ü Ãë¾àÁ¡µéÀº Á¤º¸ ³ëÃâ, µðµµ½º, ±ÇÇÑ »ó½ÂÀ» ÀÏÀ¸Å°´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. À̹ø ÆÐÄ¡´Â ÀÌ·± Ãë¾àÁ¡µéÀ» ÀüºÎ ´Ù·ç´Â ÇÑÆí ºÎä³Î °ø°Ý¿¡ ´ëÇÑ À§Ç輺µµ ¾î´À Á¤µµ ³·Ãè´Ù°í ¿£ºñµð¾Æ´Â ¼³¸íÇÑ´Ù. ¡°Æ¯È÷ ¸áÆ®´Ù¿î(Meltdown)°ú ½ºÆåÅÍ(Spectre)¶ó°í ¾Ë·ÁÁø ºÎä³Î ½ÇÇà ±â´ÉÀÇ º¯Á¾ 4(Variant 4)¿¡ ´ëÇÑ À§Çè ¿ÏÈ ¹æ¹ýÀÌ ¸¶·ÃµÆ½À´Ï´Ù.¡±
À̹ø¿¡ ÆÐÄ¡µÈ Ãë¾àÁ¡µé ´ë´Ù¼ö¸¦ ÀͽºÇ÷ÎÀÕ ÇÏ·Á¸é Ç¥ÀûÀÌ µÈ ½Ã½ºÅÛ¿¡ ´ëÇÑ ·ÎÄà Á¢±ÙÀÌ ÇÊ¿äÇÏ´Ù. ±×·¯³ª ÀÌ Á¡¸¸ »©¸é °ø°Ý ÀÚü°¡ ±â¼úÀûÀ¸·Î ³À̵µ°¡ ³ôÁö´Â ¾Ê´Ù°í ¿£ºñµð¾Æ´Â °æ°íÇß´Ù.
ÀÌ Ãë¾àÁ¡µéÀÇ ¿µÇâÀ» ¹Þ´Â °Ç Á¬½¼ TX1(Jetson TX1) R28.3 ÀÌÀü ¹öÀüµé°ú Á¬½¼ TX2 R28.3 ÀÌÀü ¹öÀüµéÀÌ´Ù.
3ÁÙ ¿ä¾à
1. ¿£ºñµð¾Æ, Åױ׶ó µå¶óÀ̹ö¿¡¼ ´Ù¼öÀÇ Ãë¾àÁ¡ ÆÐÄ¡ÇÔ.
2. °íÀ§Ç豺¿¡ ¼ÓÇÑ Ãë¾àÁ¡ÀÌ ³× °³³ª ÀÖÀ½. µðµµ½º¿Í ±ÇÇÑ »ó½Â °ø°Ý °¡´ÉÇÏ°Ô ÇÔ.
3. ¸áÆ®´Ù¿î°ú ½ºÆåÅÍ º¯Á¾ 4¿¡ ´ëÇÑ À§Çè ¿ÏÈ ÀåÄ¡µµ Æ÷ÇԵǾî ÀÖÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>