Çϳª´Â 9.8Á¡ ¹ÞÀº ¡®Ä¡¸íÀûÀ¸·Î À§ÇèÇÑ¡¯ Ãë¾àÁ¡...³ª¸ÓÁö´Â 7.5Á¡ÀÇ µðµµ½º Ãë¾àÁ¡
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ºñµð¿À·¦½º(Videolabs)°¡ ÃÖ±Ù ÀÚ»ç libmicrodns ¶óÀ̺귯¸®¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡µéÀ» ÆÐÄ¡Çß´Ù. ½Ã½ºÄÚ Å»·Î½º(Cisco Talos) ÆÀÀÌ ºÐ¼®ÇÑ ¹Ù¿¡ ÀÇÇϸé, ÀÌ Ãë¾àÁ¡À» ¼º°øÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì ÀÓÀÇ ÄÚµå ½ÇÇà °ø°Ý°ú µðµµ½º °ø°ÝÀÌ °¡´ÉÇÏ´Ù°í ÇÑ´Ù.
[À̹ÌÁö = iclickart]
ºñµð¿À·¦½º´Â ºñµð¿À·£(VideoLAN)À̶ó´Â ¼ÒÇÁÆ®¿þ¾î °³¹ß ¾÷üÀÇ Á÷¿øµéÀÌ Ã¢¸³ÇÑ È¸»ç·Î, ÇöÀç Çѱ¹¿¡¼µµ ¸¹ÀÌ »ç¿ëµÇ°í ÀÖ´Â VLC ¹Ìµð¾î Ç÷¹ÀÌ¾î ¾ÛÀÇ ¸ð¹ÙÀÏ ¹öÀüÀ» À¯Áö ¹× º¸¼öÇÏ°í ÀÖ´Ù. Ãë¾àÁ¡ÀÌ ¹ß°ßµÈ libmicrodns´Â ¸¶ÀÌÅ©·Î DNS ¸®Á¹¹ö ±â´ÉÀ» ´ã´çÇÏ´Â Å©·Î½º Ç÷§Æû ¶óÀ̺귯¸®·Î, ¸¶ÀÌÅ©·Î DNS ¼ºñ½º¸¦ Ž»öÇØ Ã£¾Æ³»´Â µ¥¿¡ »ç¿ëµÇ°í ÀÖ´Ù.
ÆÐÄ¡µÈ Ãë¾àÁ¡µé Áß °¡Àå ½É°¢ÇÑ °Ç CVE-2020-6072·Î CVSS ±âÁØ 9.8Á¡À» ¹Þ¾Ò´Ù. ¶óÀ̺귯¸® ³»¿¡ ÀÖ´Â ·¹À̺íÀÇ ±¸¹® ºÐ¼® ±â´É¿¡¼ ¹ß°ßµÈ Ãë¾àÁ¡À¸·Î, ¿ø°Ý¿¡¼ ÄÚµå ½ÇÇàÀ» °¡´ÉÇÏ°Ô ÇØÁشٰí Å»·Î½º ÆÀÀÌ ºí·Î±×¸¦ ÅëÇØ ¹àÇû´Ù(https://blog.talosintelligence.com/2020/03/vuln-spotlight-videolabs-microdns.html).
¡°¸¶ÀÌÅ©·Î DNS ¸Þ½ÃÁöµé ³»¿¡ ÀÖ´Â ¾ÐÃà ·¹À̺íµéÀ» ºÐ¼®ÇÒ ¶§, ¡®rr_decode¡¯¶ó´Â ÇÔ¼öÀÇ ¹Ýȯ°ªÀÌ Á¦´ë·Î È®ÀεÇÁö ¾Ê½À´Ï´Ù. ÀÌ ¶§¹®¿¡ ´õºí ÇÁ¸®(double free) Ãë¾àÁ¡ÀÌ ¹ßµ¿µÇ¸ç, À̸¦ ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì ÀÓÀÇ ÄÚµå ½ÇÇà °ø°ÝÀÌ °¡´ÉÇØÁý´Ï´Ù. °ø°ÝÀÚ ÀÔÀå¿¡¼´Â Ư¼öÇÏ°Ô Á¶ÀÛµÈ ¸¶ÀÌÅ©·Î DNS ¸Þ½ÃÁö¸¦ Àü¼ÛÇÔÀ¸·Î½á ÀͽºÇ÷ÎÀÕÀ» ÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
³ª¸ÓÁö Ãë¾àÁ¡µéÀº CVSS ±âÁØ 7.5Á¡À» ¹Þ¾Ò´Ù. libmicrodns ¶óÀ̺귯¸® ³» ´Ù¸¥ ¿ä¼Òµé¿¡¼ ¹ß°ßµÇ°í ÀÖ´Ù. ±× Áß Çϳª´Â CVE-2020-6071·Î ¶óÀ̺귯¸® ³» ÀÚ¿ø ±â·Ï ºÐ¼® ±â´É¿¡¼ ³ªÅ¸³ª¸ç, ¼º°øÀûÀ¸·Î ÀͽºÇ÷ÎÀÕ µÉ °æ¿ì µðµµ½º °ø°ÝÀ» °¡´ÉÄÉ ÇÑ´Ù.
¶Ç ´Ù¸¥ ÁÖ¿ä Ãë¾àÁ¡À¸·Î´Â CVE-2020-6073ÀÌ ÀÖ´Ù. TXT ±â·Ï Á¡°Ë ±â´É¿¡¼ ¹ß°ßµÈ °ÍÀ¸·Î, Á¤¼ö ¿À¹öÇ÷οì Çö»óÀ» ¾ß±âÇÑ´Ù. ¸¶ÀÌÅ©·Î DNS ¸Þ½ÃÁö ³» TXT ±â·ÏÀÇ RDATA ºÎºÐÀ» ºÐ¼®ÇÒ ¶§ ¹ßµ¿µÈ´Ù. ¹ßµ¿ ÈÄ¿¡´Â µðµµ½º °ø°ÝÀ» ÀÏÀ¸Å²´Ù°í ÇÑ´Ù.
µðµµ½º¸¦ À¯¹ßÇÏ´Â Ãë¾àÁ¡À¸·Î´Â CVE-2020-6078µµ ÀÖ´Ù. mdns_recv¶ó´Â ÇÔ¼ö°¡ ¸¶ÀÌÅ©·Î DNS ¸Þ½ÃÁö¸¦ Á¡°ËÇÒ ¶§ ¹ßµ¿µÈ´Ù. mdns_read_header ÇÔ¼öÀÇ ¹Ýȯ°ªÀÌ Á¦´ë·Î È®ÀεÇÁö ¾Ê±â ¶§¹®ÀÌ´Ù. ±× ¿Ü¿¡ CVE-2020-6079¿Í CVE-2020-6080 ¿ª½Ã µðµµ½º¸¦ ÀÏÀ¸Å³ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÎ °ÍÀ¸·Î ºÐ¼®µÆ´Ù.
°ø°ÝÀÚµéÀº Ư¼öÇÏ°Ô Á¶ÀÛÇÑ ¸¶ÀÌÅ©·Î DNS ¸Þ½ÃÁö¸¦ ¿¬¼ÓÀûÀ¸·Î Àü¼ÛÇÔÀ¸·Î½á Ãë¾àÁ¡µéÀ» ¹ßµ¿½Ãų ¼ö ÀÖ´Ù. ÀÌ·¯ÇÑ ¿À·ù ¼Ò½ÄÀ» Á¢ÇÑ libmicrodns ¶óÀ̺귯¸®ÀÇ °³¹ß»ç ºñµð¿À·¦½º´Â ÆÐÄ¡ ¹èÆ÷ ³ëÆ®¸¦ ÅëÇØ ¡°·ÎÄà µðµµ½º °ø°ÝÀ» °¡´ÉÇÏ°Ô ÇÏ´Â Ãë¾àÁ¡¡±À̶ó°í ÁÖÀåÇß´Ù.
Å»·Î½º°¡ À§ Ãë¾àÁ¡µéÀ» ã¾Æ³½ °Ç libmicrodns ¶óÀ̺귯¸® 0.1.0 ¹öÀüÀ̸ç, ÆÐÄ¡µÈ ¹öÀüÀº 0.1.1 ¹öÀüÀÌ´Ù.
3ÁÙ ¿ä¾à
1. Çѱ¹¿¡¼µµ ¸¹ÀÌ »ç¿ëµÇ´Â ¹Ìµð¾î ¾Û VLCÀÇ °³¹ß»ç, ÁÖ¿ä ¶óÀ̺귯¸® ÆÐÄ¡ÇÔ.
2. ¹®Á¦ÀÇ ¶óÀ̺귯¸®´Â libmicrodns 0.1.0 ¹öÀüÀ¸·Î, 0.1.1 ¹öÀüÀÌ ÆÐÄ¡µÈ ¹öÀü.
3. ¿©·¯ Ãë¾àÁ¡ Áß Çϳª´Â 9.8Á¡À» ¹Þ¾ÒÀ» Á¤µµ·Î ½É°¢Çϳª ³ª¸ÓÁö´Â 7Á¡ ´ë ¼öÁØ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>