ÀÓÀÇÀÇ OS ¸í·ÉÀ» ¿ø°Ý¿¡¼ ½ÇÇà °¡´ÉÄÉ ÇØÁà...ÆÐÄ¡ Àû¿ë ½Ã±Þ
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] µÎ °³ÀÇ Àα⠳ôÀº ¸í·ÉÇà ÅؽºÆ® ÆíÁý ¾ÖÇø®ÄÉÀ̼ǿ¡¼ °íÀ§Ç豺 Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ¹®Á¦ÀÇ ¾ÛÀº ºö(Vim)°ú ³×¿Àºö(Neovim)À¸·Î, ¸®´ª½º Àåºñ¿¡¼ ½ÇÇàµÇ¸ç, Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì ¿ø°Ý¿¡¼ ÀÓÀÇÀÇ OS ¸í·ÉÀ» ½ÇÇàÇÏ´Â °Ô °¡´ÉÇÏ´Ù°í ÇÑ´Ù. ¾Æ¸£¹Î ¶óÁî¹Â(Armin Razmjou)¶ó´Â º¸¾È Àü¹®°¡°¡ ¹ß°ßÇß´Ù.
[À̹ÌÁö = iclickart]
¶óÁî¹Â´Â ÀÚ½ÅÀÇ ¿¬±¸ °á°ú¸¦ ¹ßÇ¥ÇÏ¸é¼ °³³äÁõ¸í¿ë °ø°ÝÀ» ½Ã¿¬Çϱ⵵ Çß´Ù. ºö°ú ³×¿ÀºöÀ» ÅëÇØ ¸®´ª½º ½Ã½ºÅÛÀ» Åë°·Î ħÇØÇÏ´Â °Ô °¡´ÉÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ºöÀÇ °æ¿ì 8.1.1365 ÀÌÀü ¹öÀü°ú ³×¿ÀºöÀÇ °æ¿ì 0.3.6 ÀÌÀü ¹öÀüµéÀÌ Ãë¾àÇÏ´Ù°í ÇÑ´Ù.
¡°°ø°ÝÀÚ°¡ Ư¼öÇÏ°Ô Á¶ÀÛÇÑ ÆÄÀÏÀ» ºöÀ̳ª ³×¿ÀºöÀ¸·Î ¿¸é ¸®¹ö½º ¼ÐÀÌ ½ÇÇàµÇ´Â ¹æ½ÄÀÇ °ø°ÝÀÔ´Ï´Ù. ¹°·Ð ÆÄÀÏÀº Á¤»óÀûÀÎ ÇüÅ·ΠÀ§ÀåµÇ¾î ÀÖ¾î¼ ÇÇÇØÀÚ´Â ¾Ë ¼ö°¡ ¾ø½À´Ï´Ù. À̹ø °³³äÁõ¸í¿¡¼´Â ÆÄÀÏÀÇ ³»¿ëÀÌ cat ¸í·É¾î¸¦ ÅëÇØ Ãâ·ÂµÉ ¶§ ¸ðµå¶óÀÎ(modeline)À» ¼û±â±â À§ÇØ Å͹̳ΠŻÃâ ½ÃÄö½º(terminal escape sequence)¸¦ »ç¿ëÇß½À´Ï´Ù.¡±
ºöÀº ¹ÙÀÌ(vi)¶ó´Â ÆíÁý±â¸¦ ±â¹ÝÀ¸·Î ÇÑ ÅؽºÆ® ÆíÁý±â·Î, À¯´Ð½º OS¿ëÀ¸·Î óÀ½ °³¹ßµÆ´Ù. À§¿¡¼ ¸»ÇÏ´Â ¸ðµå¶óÀÎÀ̶õ ¼³Á¤ °ü·Ã µ¥ÀÌÅ͸¦ µð½ºÇ÷¹ÀÌ ¼¹ö¿Í °øÀ¯ÇÏ°í µð½ºÇ÷¹ÀÌ °ü·Ã ¼³Á¤ µ¥ÀÌÅ͸¦ °øÀ¯ ¹Þ´Â µ¥ »ç¿ëÇÏ´Â ¼³Á¤ Çà(configuration line)ÀÌ´Ù. °ø°ÝÀÚ°¡ Æ®·ÎÀ̸ñ¸¶ ±â´ÉÀ» °¡Áø ÅؽºÆ® ÆÄÀÏÀ» »ý¼ºÇÏ´Â °É ¹æÁöÇϱâ À§ÇØ ¸ðµå¶óÀÎÀº »÷µå¹Ú½º ȯ°æ¿¡¼ °ªÀ» ½ÇÇàÇϴµ¥, ¶óÁî¹Â´Â À̸¦ ÇÇÇØ°¡´Â °Ô °¡´ÉÇÏ´Ù°í ¸»ÇÑ´Ù.
¡°:source! ¸í·É¾î¸¦ »ç¿ëÇßÀ» ¶§ »÷µå¹Ú½º¸¦ ȸÇÇÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ÆÄÀϷκÎÅÍ ¸í·ÉÀ» ÀÐÀ» ¶§, ¸¶Ä¡ »ç¿ëÀÚ°¡ ¼ÕÀ¸·Î ¸í·ÉÀ» ŸÀÌÇÎ ÇÑ °Íó·³ ÀνÄÇÕ´Ï´Ù. ±×¸®°í »÷µå¹Ú½º ¹Ù±ù¿¡¼ ½ÇÇà½ÃÅ°ÁÒ. ÀÌ Á¡À» ÀÌ¿ëÇØ »÷µå¹Ú½º ±â´ÉÀ» ÇÇÇØ°¥ ¼ö ÀÖ°Ô µÇ´Â °ÍÀÔ´Ï´Ù.¡± »÷µå¹Ú½º¸¦ ÇÇÇØ°¡¸é ¸ðµå¶óÀÎÀ» ÅëÇØ ÀÓÀÇ ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ¿¬±¸ »ó¼¼ ³»¿ë°ú ½Ã¿¬ Àå¸éÀº ¿©±â(https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md)¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù.
ÀÌ Ãë¾àÁ¡¿¡´Â CVE-2019-12735¶ó´Â ¹øÈ£°¡ ºÙ¾ú´Ù. ¹Ì±¹ÀÇ Ç¥Áرâ¼ú¿¬±¸¼Ò(NIST)µµ ½É°¢ÇÑ ¹®Á¦¶ó¸ç °æ°í¸¦ ¹ßÇ¥Çß´Ù. ¡°¿ø°ÝÀÇ °ø°ÝÀÚ°¡ :source! ¸í·ÉÀ» ÅëÇØ ÀÓÀÇÀÇ OS ¸í·É¾î¸¦ ¸ðµå¶óÀο¡¼ ½ÇÇàÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â °Í¡±À̶ó´Â ¼³¸íÀ» µ¡ºÙÀ̱⵵ Çß´Ù. ºö°ú ³×¿Àºö ¸ðµÎ ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ ÆÐÄ¡¸¦ ¹ßÇ¥ÇÏ°í ¹èÆ÷Çϱ⠽ÃÀÛÇß´Ù.
¶óÁî¹Â´Â ÆÐÄ¡¸¸ÀÌ ÀüºÎ°¡ ¾Æ´Ï¶ó°í ¼³¸íÇß´Ù. ¡°ÆÐÄ¡¸¦ Àû¿ëÇÏ´Â °Íµµ Áß¿äÇÏÁö¸¸ ¸î °¡Áö Ãß°¡ ÀýÂ÷¸¦ ¹â´Â °Ô ÁÁ½À´Ï´Ù. vimrc¿¡¼´Â ¸ðµå¶óÀÎÀ» ºñÈ°¼ºÈÇÏ°í ´ë½Å securemodelinespluginÀ» »ç¿ëÇϰųª modelineexprÀ» ºñÈ°¼ºÈ ÇÔÀ¸·Î½á ¸ðµå¶óÀο¡¼ ¸í·ÉÀÌ ½ÇÇàµÇÁö ¾Êµµ·Ï ÇÏ´Â °ÍÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ¸®´ª½º¿¡¼ »ç¿ëµÇ´Â ¸í·ÉÇà ¾ÛÀÎ ºö°ú ³×¿Àºö¿¡¼ °íÀ§Ç豺 Ãë¾àÁ¡ ¹ß°ßµÊ.
2. CVE-2019-12735·Î, ¿ø°Ý¿¡¼ ÀÓÀÇÀÇ OS ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â °Í.
3. ÆÐÄ¡°¡ ³ª¿ÔÁö¸¸ ¸ðµå¶óÀÎ ºñÈ°¼ºÈÇÏ´Â µîÀÇ Ãß°¡ Á¶Ä¡ ÃëÇØ¾ß ¾ÈÀüÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>