¾ó¸¶ ÈÄ 11.5.2 ¹öÀüÀ» ¹èÆ÷ÇßÀ¸³ª ÇȽºµÇÁö ¾Ê¾Æ...´Ù½Ã ³ª¿Â 11.5.3µµ ¸¶Âù°¡Áö
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] VM¿þ¾î°¡ ¸ÆOS¿ë Ç»Àü(Fusion)À» ¾÷µ¥ÀÌÆ® Çß´Ù. Áö³ ¹ø ÆÐÄ¡·Î ÇØ°áÇÏÁö ¸øÇß´ø ±ÇÇÑ »ó½Â Ãë¾àÁ¡À» °íÄ¡±â À§Çؼ¿´´Ù. ±×·±µ¥ À̹ø¿¡µµ ÆÐÄ¡¿¡ ½ÇÆÐÇß´Ù´Â ¼Ò¸®°¡ ³ª¿À´Â »óȲÀÌ´Ù. °°Àº Ãë¾àÁ¡¿¡ ´ëÇØ µÎ ¹øÀ̳ª ½ÇÆÐÇÑ ÆÐÄ¡¸¦ ³»³õ°Ô µÈ °ÍÀÌ´Ù.
[À̹ÌÁö = iclickart]
Áö³ 3¿ù 17ÀÏ VM¿þ¾î ÃøÀº °í°´µé¿¡°Ô ¡°¸Æ¿ë Ç»Àü, ¸®¸ðÆ® ÄܼÖ(VMRC), È£¶óÀÌÁð Ŭ¶óÀ̾ðÆ®(Horizon Client)¿¡¼ °íÀ§Ç豺 Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ¾ú´Ù¡±°í ¾Ë¸®¸ç ¡°setuid ¹ÙÀ̳ʸ®ÀÇ À߸øµÈ È°¿ë°ú °ü°èµÇ¾î Àִµ¥, ÀͽºÇ÷ÎÀÕ µÉ °æ¿ì °ø°ÝÀÚÀÇ ±ÇÇÑÀÌ ¸Å¿ì ³ô¾ÆÁø´Ù¡±°í °æ°íÇÑ ¹Ù ÀÖ´Ù. ÀÌ Ãë¾àÁ¡¿¡´Â CVE-2020-3950À̶ó´Â ¹øÈ£°¡ ºÎ¿©µÆ´Ù.
±×·¯¸é¼ VM¿þ¾î´Â 11.5.2 ¹öÀüÀ» ¹èÆ÷Çϱ⠽ÃÀÛÇß´Ù. ÆÐÄ¡°¡ ÀÌ·ïÁø ¹öÀüÀ̾ú´Ù. ÇÏÁö¸¸ ÀÌ Ãë¾àÁ¡À» óÀ½ ¹ß°ßÇÑ º¸¾È Àü¹®°¡ ¸®Ä¡ ¸ÓÅ©(Rich Mirch)¿Í ¡®Á¦ÇÁº¼(Jeffball)¡¯À̶ó´Â Àι°Àº ÀÌ ÆÐÄ¡°¡ ºÒ¿ÏÀüÇÏ´Ù´Â »ç½ÇÀ» ¹ß°ßÇØ ´Ù½Ã ÇÑ ¹ø VM¿þ¾î Ãø¿¡ ¾Ë·È´Ù. ÀÌ¹Ì ÆÐÄ¡°¡ ¿ÏÀüÇÒ ÁÙ ¾Ë°í ÆÐÄ¡ ¹ßÇ¥ÀÏ¿¡ ¸ÂÃç °³³ä Áõ¸í¿ë ÀͽºÇ÷ÎÀÕ°ú ±â¼úÀû ¼¼ºÎ »çÇ×À» °ø°³ÇÑ µÚ¿´´Ù.
±× ³»¿ëÀº ¿©±â(https://blog.grimm-co.com/post/analyzing-suid-binaries/)¼ »ó¼¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù(¿µ¹®).
°ø°³µÈ Ãë¾àÁ¡ÀÇ ³»¿ëÀº ´ÙÀ½°ú °°´Ù. ¡°/Applications/VMware Fusion.app/Contents/Library/services¿¡ À§Ä¡ÇÑ setuid ·çÆ® ¹ÙÀ̳ʸ®ÀÎ VMware USB Arbitrator Service¿Í Open VMware Fusion Services´Â Ç¥ÁØ °æ·Î ¹Û¿¡¼ ½ÇÇàµÉ °æ¿ì, °ø°ÝÀÚ°¡ °æ·Î¸¦ ÀÓÀÇ·Î ÁöÁ¤ÇÒ ¼ö ÀÖ°Ô µÈ´Ù. À̸¦ ¾Ç¿ëÇÒ °æ¿ì ¹ÙÀ̳ʸ®´Â °æ·Î¸¦ À߸ø ÀνÄÇÔÀ¸·Î½á °ø°ÝÀÚÀÇ ±ÇÇÑÀÌ ¿Ã¶ó°£´Ù.¡±
VM¿þ¾î´Â ÀÌ·¯ÇÑ ³»¿ëÀ» Àü´Þ ¹Þ¾Æ ÆÐÄ¡¸¦ ¸¶·ÃÇßÁö¸¸ ½ÇÆÐÇß°í, ÆÐÄ¡¿¡µµ ¿À·ù°¡ ÀÖÀ½À» ÀüÇØ µè°í´Â °í°´µé¿¡°Ô À§Çè ¿ÏÈ ¹æ¹ýÀ» ¼µÑ·¯ ÀüÆÄÇß´Ù. ±×·¯¸é¼ ÆÐÄ¡¸¦ ÃÖ´ëÇÑ »¡¸® ¹ßÇ¥ÇÏ°Ú´Ù´Â ¾à¼Óµµ °°ÀÌ Çß´Ù.
±×·¡¼ ³ª¿Â °ÍÀÌ 11.5.3 ¹öÀüÀÌ´Ù. VM¿þ¾î´Â ¡°¹®Á¦¸¦ ¿ÏÀüÈ÷ ÇØ°áÇÒ ¼ö ÀÖ´Â ¹öÀüÀÌ ³ª¿Ô´Ù¡±°í ÀڽŠÀÖ°Ô ¹ßÇ¥ÇßÁö¸¸, ½ÇÁ¦·Î´Â ±×·¸Áö ¾Ê¾Ò´Ù. Á¦ÇÁº¼ÀÌ »õ·Î ³ª¿Â ÆÐÄ¡¸¦ ºÐ¼®ÇÑ °á°ú Ãë¾àÁ¡ÀÌ ¿©ÀüÈ÷ ÀͽºÇ÷ÎÀÕ °¡´ÉÇÑ »óŶó´Â °É ¹ß°ßÇÒ ¼ö ÀÖ¾ú´Ù. ½ÉÁö¾î °³³äÁõ¸í¿ë ÀͽºÇ÷ÎÀÕ±îÁöµµ °³¹ßÇß´Ù.
Á¦ÇÁº¼Àº ÀÚ½ÅÀÇ ºí·Î±×¸¦ ÅëÇØ ¡°¹®Á¦°¡ µÆ´ø µÎ °¡Áö ¿ä¼Ò Áß Open VMware Fusion Services °ü·Ã ºÎºÐÀº ÇØ°áÀÌ µÆÁö¸¸ Open VMware USB Arbitrator Service ¹ÙÀ̳ʸ® ºÎºÐÀº ¿©ÀüÈ÷ ¹®Á¦¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Ù¡±°í ¼³¸íÇß´Ù.
±×·¯¸é¼ Á¦ÇÁº¼Àº À̹ø ÇȽº¿¡ Á¸ÀçÇÏ´Â ¹®Á¦°¡ À̸¥ ¹Ù TOCTOU¶ó°í ¼³¸íÇß´Ù. TOCTOU´Â ¡®time-of-check time-of-use¡¯ÀÇ Áظ»·Î, ƯÁ¤ Á¶°ÇÀÌ È®ÀεǴ ½Ã°£°ú ±× Á¶°ÇÀ¸·Î ÀÎÇØ °á°ú°¡ ¹ß»ýÇÏ´Â ½Ã°£ »çÀÌ¿¡ ¹®Á¦°¡ ³ªÅ¸³¯ ¼ö ÀÖ´Ù´Â °É ÀǹÌÇÑ´Ù. ¡°ÇöÀç´Â ¹ÙÀ̳ʸ®ÀÇ ½ÃÀÛ ºÎºÐ¿¡¼¸¸ ½Ã±×´Ïó°¡ È®Àε˴ϴÙ. ±× ´ÙÀ½¿¡´Â ÄÚµåÀÇ º¯°æÀÌ °¡´ÉÇÏ°Ô µË´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. VM¿þ¾îÀÇ ÀϺΠÁ¦Ç°¿¡¼ ±ÇÇÑ »ó½Â Ãë¾àÁ¡ÀÌ ¹ß°ßµÆÀ½.
2. VM¿þ¾î´Â ÆÐÄ¡¸¦ ¹ßÇ¥ÇßÀ¸³ª ½ÇÆÐÇÏ°í, ´Ù½Ã ÆÐÄ¡ÇßÀ¸³ª ¶Ç ½ÇÆÐÇÔ.
3. ¹®Á¦ÀÇ Çٽɿ¡ ÀÖ´Â ¹ÙÀ̳ʸ® µÎ °³ Áß Çϳª¸¸ ÇØ°áÀÌ µÈ »óÅÂ.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>