ÀͽºÇ÷ÎÀÕ ¼º°øÇßÀ» ¶§ ÀÓÀÇ ¼Ð ÄÚµå ½ÇÇà °¡´ÉÇØ...½Ã±ÞÇÑ ÆÐÄ¡ Àû¿ë Çʼö
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] º¸¾È ¾÷ü Ä÷¸®½º(Qualys)ÀÇ º¸¾È Àü¹®°¡µéÀÌ ¿ÀÇÂSMTPD(OpenSMTPD)¿¡¼ ÀáÀçÀûÀ¸·Î À§ÇèÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡À» ¹ß°ßÇß´Ù. Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÒ °æ¿ì ¿ø°Ý ¸í·É ½ÇÇàÀÌ °¡´ÉÇÏ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
¿ÀÇÂSMTPD´Â ¿ÀÇÂBSD ÇÁ·ÎÁ§Æ®(OpenBSD Project)¿¡¼ ¸¸µç ¿ÀǼҽº·Î, SMTP¸¦ ±¸ÇöÇÑ °ÍÀÌ´Ù. SMTP´Â ÀüÀÚ¿ìÆí Àü¼Û ÇÁ·ÎÅäÄÝÀÌ´Ù. ¿ÀÇÂSMTPDÀÇ ÈÞ´ë¿ë ¹öÀüÀº ´Ù¾çÇÑ BSD ¹× ¸®´ª½º ¹öÀü¸¸ÀÌ ¾Æ´Ï¶ó ¾ÖÇÃÀÇ ¸ÆOS X¿¡¼µµ ½ÇÇàÀÌ µÈ´Ù. ³ôÀº ȣȯ¼ºÀ» º¸¿© ²Ï³ª °¢±¤¹Þ°í Àֱ⵵ ÇÏ´Ù.
ÇÏÁö¸¸ Ä÷¸®½º¿¡ ÀÇÇÏ¸é ¿ÀÇÂSMTPD¿¡´Â Ä¡¸íÀûÀÎ Ãë¾àÁ¡ÀÌ Çϳª Á¸ÀçÇÑ´Ù°í ÇÑ´Ù. ¡°ÀÌ Ãë¾àÁ¡À» ÅëÇØ °ø°ÝÀÚµéÀº ·çÆ® ±ÇÇÑÀ» °¡Áö°í ÀÓÀÇÀÇ ¼Ð ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ¿ÀÇÂSMTPD°¡ µðÆúÆ®·Î ¼³Á¤µÇ¾î ÀÖ´Â ½Ã½ºÅÛ¿¡ ¹°¸®ÀûÀ¸·Î Á¢±ÙÇßÀ» ¶§´Â ¹°·Ð ¿ø°Ý¿¡¼µµ ÀͽºÇ÷ÎÀÕÀÌ °¡´ÉÇÕ´Ï´Ù.¡±
ÀÌ Ãë¾àÁ¡¿¡´Â CVE-2020-7247À̶ó´Â °ü¸® ¹øÈ£°¡ ºÙ¾ú´Ù. Á¤È®È÷´Â smtp_mailaddr()À̶ó´Â ÇÔ¼ö¿¡ À§Ä¡ÇØ ÀÖ´Â °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù. ÀÌ ÇÔ¼ö´Â ¸ÞÀÏ Àü¼ÛÀÚ¿Í ¼ö½ÅÀÚÀÇ À̸ÞÀÏ ÁÖ¼ÒÀÇ ¹«°á¼ºÀ» È®ÀÎÇÏ´Â ±â´ÉÀ» °¡Áö°í ÀÖ´Ù. Ư¼öÇÏ°Ô Á¶ÀÛµÈ À̸ÞÀÏÀ» ÅëÇØ Ãë¾àÁ¡À» ¹ßµ¿½ÃÅ°´Â °Ô °¡´ÉÇÏ´Ù.
¹®Á¦´Â ÀÌ Ãë¾àÁ¡ÀÌ 2018³â 5¿ùºÎÅÍ ¡®ÀͽºÇ÷ÎÀÕ °¡´ÉÇÑ »óÅ¡¯¿´´Ù´Â °ÍÀ̶ó°í Ä÷¸®½º´Â °Á¶Çß´Ù. ÇöÀç Ä÷¸®½º´Â ±â¼ú ¼¼ºÎ »çÇ×À» ÀüºÎ °ø°³ÇÑ »óÅÂÀ̸ç, ÇØÄ¿ ´º½º(Hacker News)¶ó´Â °÷¿¡¼ ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ ³íÀÇ°¡ ÀϾ°í ÀÖ´Ù. ƯÈ÷ ±Ù¿øÀûÀÎ ¹®Á¦°¡ ¹«¾ùÀÎÁö¿¡ ´ëÇÑ À̾߱Ⱑ °è¼ÓÇؼ °øÀ¯µÇ°í ÀÖ´Â »óȲÀÌ´Ù.
ÀÌ¿¡ ¿ÀÇÂSMTPD¸¦ °ü¸®ÇÏ´Â Á¶Á÷¿¡¼´Â À§ Ãë¾àÁ¡¿¡ ´ëÇÑ ÆÐÄ¡¸¦ ±ä±ÞÈ÷ ¹ßÇ¥Çß´Ù. ±×·¯¸é¼ »ç¿ëÀڵ鿡°Ô ¡°ÃÖ´ëÇÑ »¡¸® Àû¿ëÇÒ °Í¡±À» Ã˱¸ÇÏ°í ÀÖ´Â »óȲÀÌ´Ù. ¶ÇÇÑ ¹®Á¦ÀÇ ±Ù¿ø¿¡ ´ëÇÑ ³»¿ëÀ» ºü¸¥ ½ÃÀÏ ¾È¿¡ ÆľÇÇÏ¿© °ø°³ÇÏ°Ú´Ù°íµµ ¾à¼ÓÇß´Ù.
¿ÀÇÂSMTPD¿¡¼ Ä÷¸®½º°¡ Ãë¾àÁ¡À» ã¾Æ ¹ßÇ¥ÇÑ °ÍÀº À̹øÀÌ Ã³À½ÀÌ ¾Æ´Ï´Ù. 2015³â Ä÷¸®½º´Â ¿ÀÇÂSMTPD¿¡ ´ëÇÑ º¸¾È °¨»ç¸¦ ½Ç½ÃÇß°í, Ãë¾àÁ¡°ú ¿À·ù¸¦ ¿©·¯ °³ ¹ß°ßÇÑ ¹Ù ÀÖ´Ù. ´ç½Ã ÇØ´ç Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì, µðµµ½º, Á¤º¸ Å»Ãë, ±ÇÇÑ »ó½Â, ÀÓÀÇ ÄÚµå ½ÇÇà °ø°Ý µîÀÌ °¡´ÉÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù.
ÆÐÄ¡´Â ¿©±â(https://www.mail-archive.com/misc@opensmtpd.org/msg04850.html)¼ ¿¶÷ ¹× ´Ù¿î·Îµå°¡ °¡´ÉÇÏ´Ù.
3ÁÙ ¿ä¾à
1. À̸ÞÀÏ Àü¼Û ÇÁ·ÎÅäÄݸ¦ ¿ÀǼҽº·Î ±¸ÇöÇÑ ¿ÀÇÂSMTPD¿¡¼ Ãë¾àÁ¡ ¹ß°ßµÊ.
2. ÀÌ¹Ì 2018³â 5¿ùºÎÅÍ Ãë¾àÁ¡ÀÌ Á¸ÀçÇØ¿Ô´ø »óÅ·Î, ÀͽºÇ÷ÎÀÕÀÌ ÀÌ·ïÁö°í ÀÖÀ» °¡´É¼º ÀÖÀ½.
3. ÆÐÄ¡ Àû¿ë ½Ã±ÞÇÔ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>