·¹µåÇÞÀº ´çºÐ°£ ¿©·Â ¾È µÉ µí...±êÇãºê ÅëÇØ Ä¿¹Â´ÏƼ°¡ ÇØ°á ½Ãµµ Áß
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] rkt ÄÁÅ×ÀÌ³Ê ·±Å¸ÀÓ¿¡¼ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ÀͽºÇ÷ÎÀÕÀÌ µÉ °æ¿ì °ø°ÝÀÚ°¡ ÄÁÅ×ÀÌ³Ê È¯°æÀ» Å»ÃëÇØ È£½ºÆ®¿¡ ´ëÇÑ ·çÆ® ±ÇÇÑÀ» °¡Á®°¥ ¼ö ÀÖ°Ô µÈ´Ù. ¡°»ç¿ëÀÚ°¡ ¡®rkt enter¡¯ ¸í·ÉÀ» ½ÇÇàÇÒ ¶§ ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÏ´Ù¡±°í º¸¾È ¾÷ü Æ®À§½ºÆ®·Ï(Twistlock)ÀÇ º¸¾È Àü¹®°¡ À¯¹ß ¾Æºê¶óÇϹÌ(Yuval Avrahami)°¡ ¼³¸íÇÑ´Ù.
[À̹ÌÁö = iclickart]
rkt´Â ÄÚ¾îOS(CoreOS)°¡ ½ÃÀÛÇÑ ÇÁ·ÎÁ§Æ®ÀÌÀÚ ¿ÀǼҽº ÄÁÅ×ÀÌ³Ê ·±Å¸ÀÓÀ¸·Î, Á¡Á¡ ´õ ÀÎÁöµµ°¡ Ä¿Á®°¡°í ÀÖ´Â ÁßÀÌ´Ù. ÇÏÁö¸¸ 2018³â Áß¹Ý ·¹µåÇÞ(RedHat)ÀÌ ÄÚ¾îOS(CoreOS)¸¦ ÀμöÇÑ µÚ·ÎºÎÅÍ´Â ¹ß ºü¸£°í È°¹ßÇÏ°Ô °è¹ßµÇ°í ÀÖÁö´Â ¾Ê´Ù. ¶ÇÇÑ ¿ÀǼҽºÀÓ¿¡µµ ºÒ±¸ÇÏ°í ÄÁÆ®¸®ºäÅÍ(contributor)°¡ ±×¸® ¸¹Áö ¾Ê´Ù´Â Ư¡µµ °¡Áö°í ÀÖ´Ù.
À¯¹ß¿¡ µû¸£¸é À§¿¡ ¾ð±ÞµÈ rkt enter ¸í·ÉÀº ¡°»ç¿ëÀÚ°¡ ½ÇÇàµÇ°í ÀÖ´Â ÄÁÅ×À̳ʿ¡¼ ¹ÙÀ̳ʸ®¸¦ ½ÇÇà½Ãų ¼ö ÀÖ°Ô ÇØÁÖ´Â °Í¡±À̶ó°í Çϸç, ¡°ÇÊÅ͸µÀ̳ª ±×·ì °Ý¸® °°Àº Á¦ÇÑ ÀåÄ¡°¡ Çϳªµµ Àû¿ëµÇ¾î ÀÖÁö ¾Ê°í ´ÜÁö ¸íĪ °ø°£(namespace)¸¸ÀÌ Á¦ÇÑÀ» ÁÖ´Â ¿ä¼Ò·Î¼ ÀÛµ¿ÇÏ°í ÀÖ´Ù¡±°í ÇÑ´Ù.
±×·¸±â ¶§¹®¿¡ ÄÁÅ×À̳ʸ¦ ºüÁ®³ª°¡´Â °Ô °¡´ÉÇÏ´Ù°í ¾Æºê¶óÇϹ̴ ÁöÀûÇÑ´Ù. ÀÌ Æ¯Â¡µé¿¡´Â ¼¼ °¡Áö Ãë¾àÁ¡ ¹øÈ£°¡ ºÙ¾ú´Ù.
1) CVE-2019-10144 : rkt enter·Î ½ÇÇàµÇ´Â ÇÁ·Î¼¼½ºµéÀÌ 2´Ü°è¿¡¼ ¸ðµç ±â´ÉÀ» ½Ç½ÃÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
2) CVE-2019-10145 : rkt enter·Î ½ÇÇàµÇ´Â ÇÁ·Î¼¼½ºµéÀÌ 2´Ü°è¿¡¼ seccomp ÇÊÅ͸µÀÇ Á¦ÇÑÀ» ¹ÞÁö ¾Ê´Â´Ù.
3) CVE-2019-10147 : rkt enter·Î ½ÇÇàµÇ´Â ÇÁ·Î¼¼½ºµéÀÌ 2´Ü°è¿¡¼ cgroupsÀÇ Á¦ÇÑÀ» ¹ÞÁö ¾Ê´Â´Ù.
À̸¦ ÀͽºÇ÷ÎÀÕ Çϱâ À§Çؼ´Â ÄÁÅ×À̳ʿ¡ ´ëÇÑ ·çÆ® ±ÇÇÑÀÌ ÇÊ¿äÇÏ´Ù. ¡°±×·¯¹Ç·Î »ç¿ëÀÚ°¡ rkt enter ¸í·ÉÀ» ½ÇÇàÇÒ ¶§ °ø°ÝÀÚ°¡ ¹ÙÀ̳ʸ®¿Í ¶óÀ̺귯¸®¸¦ µ¤¾î¾²±â ÇÒ ¼ö ÀÖ°Ô µÇ°í, À̸¦ ÅëÇØ »ý¼ºµÈ ÇÁ·Î¼¼½º°¡ Á¤»ó ¹ÙÀ̳ʸ®¿Í ¶óÀ̺귯¸® ´ë½Å ¾Ç¼º Äڵ带 ½ÇÇàÇϵµ·Ï ¸¸µå´Â °Ô °¡´ÉÇÕ´Ï´Ù.¡±
ÀÌ °æ¿ì µ¤¾î¾²±â¸¦ ÇØ¾ß ÇÏ´Â °Ç ÄÁÅ×ÀÌ³Ê ³»ÀÇ /bin/bash¿Í libc.so.6À̶ó°í ÇÑ´Ù. ÀÌ µÑÀº rkt enter ¸í·É¿¡ ´ëÇÑ ¿É¼ÇÀÌ Æ¯º°È÷ ÁöÁ¤µÇÁö ¾Ê¾ÒÀ» ¶§ µðÆúÆ®·Î ½ÇÇàµÇ´Â ¹ÙÀ̳ʸ®´Ù. ±×·¯¹Ç·Î ¾Ç¼º ÇÁ·Î¼¼½º¸¦ ·Îµù½ÃÅ°´Â µ¥ ¼º°øÇÒ °¡´É¼ºÀÌ ³ô¾ÆÁø´Ù. ¡°ÀÌ·¸°Ô ¾Ç¼º ÇÁ·Î¼¼½º°¡ ½ÇÇàµÇ±â ½ÃÀÛÇϸé, ÄÁÅ×À̳ʸ¦ Å»ÃâÇؼ È£½ºÆ®ÀÇ ·çÆ®¿¡ ½±°Ô Á¢±ÙÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
¾Æºê¶óÇϹ̴ ÀÌ ¼¼ °¡Áö Ãë¾àÁ¡°ú °ø°Ý ½Ã³ª¸®¿À¸¦ º¸´Ù »ó¼¼È÷ ¼³¸íÇϱâ À§ÇØ ¿µ»ó¹°(https://asciinema.org/a/249284)À» ¹ßÇ¥Çϱ⵵ Çß´Ù. ¶ÇÇÑ ·¹µåÇÞ°ú ÄÚ¾îOS Ãø¿¡µµ ¿¬¶ôÀ» ÃëÇØ Ãë¾àÁ¡µé¿¡ ´ëÇÑ ¼¼ºÎ ³»¿ëÀ» ¾Ë·È´Ù. ÇÏÁö¸¸ ·¹µåÇÞ ÃøÀº ÀÌ ¹®Á¦¿¡ ´ëÇÑ ÆÐÄ¡ °èȹÀ» ´çÀå ¼¼¿ï ¼ö´Â ¾î·Æ´Ù´Â ´äÀåÀ» º¸³Â´Ù. ´ë½Å ±êÇãºê¿¡ Ãë¾àÁ¡¿¡ ´ëÇÑ ³»¿ëÀ» ¿Ã·Á º¸¾È Ä¿¹Â´ÏƼ°¡ ¿ÏÈ ¹æ¹ýÀ» ã´Â µ¥ °øµ¿À¸·Î ³ë·ÂÇÒ ¼ö ÀÖ°Ô ÇØ´Þ¶ó°í ¿äûÇß´Ù.
º¸¾È ¹× °³¹ß Ä¿¹Â´ÏƼ ÀÏ¿øÀ¸·Î¼ rkt ÆÐÄ¡ ¹®Á¦¿¡ Âü¿©ÇÏ°í ½Í´Ù¸é ´ÙÀ½ ¸µÅ©¸¦ ÂüÁ¶ÇÒ ¼ö ÀÖ´Ù. rkt¿Í °ü·ÃµÈ ³»¿ëÀº ´ÙÀ½ ±êÇãºê ÁÖ¼Ò(https://github.com/rkt/rkt)¿¡¼ ¿¶÷ÀÌ °¡´ÉÇÏ°í, ¾Æºê¶óÇϹÌÀÇ ÃÖÃÊ Æ÷½ºÆÃÀº ¿©±â(https://www.twistlock.com/labs-blog/breaking-out-of-coresos-rkt-3-new-cves/)¼ Àо ¼ö ÀÖ´Ù. ¾Æºê¶óÇϹ̰¡ Á¦½ÃÇÑ °ø°Ý ½Ã³ª¸®¿À´Â ÀÌ ¿µ»ó(https://asciinema.org/a/0yLjxbPuVbjnYtERgevcTz4Iv)À» ÅëÇØ Á¢ÇÒ ¼ö ÀÖ´Ù.
3ÁÙ ¿ä¾à
1. rkt ÄÁÅ×ÀÌ³Ê ·±Å¸ÀÓ¿¡¼ ¼¼ °¡Áö Ãë¾àÁ¡ ¹ß°ßµÊ.
2. Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì, ÄÁÅ×À̳ʿ¡¼ Å»ÃâÇÑ µÚ È£½ºÆ®¸¦ ħÇØÇÒ ¼ö ÀÖÀ½.
3. ÆÐÄ¡´Â ÇÑ µ¿¾È ³ª¿ÀÁö ¾ÊÀ» Àü¸Á. Ä¿¹Â´ÏƼ¿¡¼ Á÷Á¢ ÇØ°áÇؾ߸¸ ÇÏ´Â »óȲ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>