2016³âÀ» ³¡À¸·Î ¹öÀü ¾÷ µÇÁö ¾Ê¾Æ...´Ù¾çÇÑ Ãë¾àÁ¡µéÀÌ ¿À·¡µÈ »óÅ·Π³²¾Æ ÀÖ¾î
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¿ÀÇÂŬ¸®´Ð(OpenClinic) ¾ÖÇø®ÄÉÀ̼ǿ¡¼ 4°¡Áö Ãë¾àÁ¡µéÀÌ ¹ß°ßµÆ´Ù. ´Ù ½É°¢ÇÏÁö¸¸ ÇÑ °¡Áö´Â ¿ø°Ý¿¡¼ ÀÎÁõ °úÁ¤À» °ÅÄ¡Áö ¾ÊÀº °ø°ÝÀÚµéÀÌ È¯ÀÚÀÇ °³ÀÎ Áø·á ±â·ÏÀ» ÀÐ¾î µéÀÏ ¼ö ÀÖ°Ô ÇØ Áشٰí ÇÑ´Ù. ÀÌ Ãë¾àÁ¡ÀÌ °¡Àå ½É°¢ÇÑ °ÍÀ¸·Î ºÐ·ùµÇ°í ÀÖ´Ù.
[À̹ÌÁö = utoimage]
¿ÀÇÂŬ¸®´ÐÀº ¿ÀǼҽº ÀÇ·á ±â·Ï °ü¸® ¼ÒÇÁÆ®¿þ¾î´Ù. ÃֽŠ¹öÀüÀº 0.8.2·Î, 2016³â¿¡ ¹ßÇ¥µÈ °ÍÀÌ´Ù. µû¶ó¼ À̹ø¿¡ Á¦±âµÈ Ãë¾àÁ¡ ³× °¡Áö´Â ÃÖ¼Ò 4³â µ¿¾È Ãë¾àÇÑ Ã¤·Î ÀÖ¾ú´ø °ÍÀ̶ó°í ÇÑ´Ù. º¸¾È Àü¹® ¾÷ü ºñ¼ó Æø½º(Bishop Fox)ÀÇ Àü¹®°¡µéÀÌ À̸¦ ÃÖÃÊ·Î ¹àÇô °ø°³Çß´Ù. ¿ÀÇÂŬ¸®´Ð °³¹ßÀÚ Ãø¿¡¼´Â ¾ÆÁ÷ ¾Æ¹«·± ´ëÀÀÀÌ ¾ø´Â »óÅ´Ù.
Àü¹®°¡µé¿¡ ÀÇÇϸé ÀÌ 4°¡Áö ¹ö±×µéÀº ÀüºÎ ´ÙÀ½°ú °°Àº ¿äÀεé·Î ¹ß»ýÇÑ´Ù°í ÇÑ´Ù.
1) ÀÎÁõ ½Ã½ºÅÛ ºÎÀç
2) ºÒ¾ÈÀüÇÑ ÆÄÀÏ ¾÷·Îµå ½Ã½ºÅÛ
3) ±³Â÷ »çÀÌÆ® ½ºÅ©¸³ÆÃ(XSS)
4) °æ·Î º¯°æ(path traversal)
ÀÌ Áß 1¹ø°ú °ü·ÃµÈ Ãë¾àÁ¡ CVE-2020-28937ÀÌ °¡Àå À§ÇèÇÑ °ÍÀ¸·Î ºÐ¼®µÆ´Ù.
¿ÀÇÂŬ¸®´Ð »ç¿ëÀÚµé Áß ÀÎÁõÀ» Á¤»óÀûÀ¸·Î °ÅÄ£ »ç¿ëÀÚµéÀÌ ÀÇ·á ½ÇÇè °ü·Ã ¹®¼µéÀ» ¾÷·Îµå ÇÑ´Ù. ÀÌ ¹®¼µéÀº /tests/¶ó´Â µð·ºÅ丮¿¡ ÀúÀåµÈ´Ù. ÀÌ Á¤º¸µéÀº ȯÀڵ鵵 ¿¶÷ÀÌ °¡´ÉÇÏ´Ù. ´Ù¸¸ ȯÀڵ鿡°Ô ¿ä±¸µÇ´Â ÀÎÁõ ÀýÂ÷°¡ Àü¹«ÇÏ´Ù. ¡°´©±¸³ª Á¦´ë·Î µÈ °æ·Î¸¸ È®º¸ÇÏ°í ÀÖ´Ù¸é ÀÌ ÀÇ·á ½ÇÇè ¹®¼¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ±×¸®°í ¿©±â¿¡´Â ´©±º°¡ÀÇ ÀÇ·á ±â·Ï Á¤º¸°¡ ´ã°Ü Àֱ⵵ ÇÏÁÒ.¡±
´Ù¸¸ ÀÌ °ø°Ý¿¡´Â Á¦ÇÑÁ¡ÀÌ Çϳª ÀÖ´Ù. /tests/ µð·ºÅ丮¿¡ ÀúÀåµÈ ÆÄÀÏÀÇ À̸§À» Á¤È®È÷ ¾Ë¾Æ³»°Å³ª ÃßÃøÇØ ¸ÂÃç¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù. ¡°ÇÏÁö¸¸ ÀÇ·á ±â·ÏÀÌ ´ã±ä ¼·ùµéÀÇ À̸§Àº ²Ï³ª °íÁ¤ÀûÀÌ°í, µû¶ó¼ ¿¹ÃøÀÌ ´ë´ÜÈ÷ ¾î·Á¿î °Ç ¾Æ´Õ´Ï´Ù. ¼¹öÀÇ ·Î±× ÆÄÀÏÀ» ¹Ì¸® ÇØÅ·ÇØ ÆÄÀÏ À̸§µéÀ» È®º¸ÇÏ´Â °Íµµ °¡´ÉÇÏÁÒ.¡±
ÇöÀç »çÀ̹ö ¹üÁËÀÚµé »çÀÌ¿¡¼ ÀÇ·á ±â·ÏµéÀº ²Ï³ª Àα⠳ôÀº ¡®¾ÆÀÌÅÛ¡¯ÀÌ´Ù. ƯÈ÷ ¾ÆÀ̵§Æ¼Æ¼ Å»Ã볪 ÇÇ½Ì °ø°ÝÀ» ÁÖ·Î ÇÏ´Â °ø°ÝÀڵ鿡°Ô ÀÌ´Â ´ë´ÜÈ÷ À¯¿ëÇÏ´Ù. µû¶ó¼ °£´ÜÇÑ ÇØÅ·À» ÅëÇØ ´©±¸¶óµµ ÀÌ ÆÄÀϵéÀ» Å»ÃëÇØ °³ÀÎ ½Äº° Á¤º¸¸¦ °¡Á®°¥ ¼ö ÀÖ°Ô µÈ´Ù. ±×¸®°í ÀÌ´Â Ãß°¡ ÇÇÇØ·Î À̾îÁø´Ù.
ºñ¼ó Æø½º¿¡¼´Â ¶Ç ´Ù¸¥ Ãë¾àÁ¡À» ¹ß°ßÇߴµ¥, À̸¦ ÅëÇؼ °ø°ÝÀÚµéÀº ¾ÖÇø®ÄÉÀÌ¼Ç ¼¹ö¿¡ ¿ø°Ý ÄÚµå ½ÇÇàÀ» ÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ÆÄÀÏ ¾÷·Îµå¿Í °ü·ÃµÈ Ãë¾àÁ¡À¸·Î, CVE-2020-28939¶ó´Â ¹øÈ£°¡ ºÙ¾ú´Ù. ºñ¼ó Æø½º¿¡ µû¸£¸é ¡°°ü¸®ÀÚ µî±ÞÀ» °¡Áø »ç¿ëÀÚ°¡ ¾Æ¹«·± Á¦ÇÑ ¾øÀÌ PHP À¥ ¼Ð°ú °°Àº ¾Ç¼º ÆÄÀϵéÀ» ¾÷·Îµå ÇÒ ¼ö ÀÖ°í, À̸¦ ÅëÇØ ÀÓÀÇ·Î Äڵ带 ½ÇÇàÇÒ ¼ö ÀÖ°Ô µÈ´Ù¡±°í ÇÑ´Ù. ¾÷·ÎµåÇÏ´Â ÆÄÀÏÀÇ À¯Çü¿¡ Á¦ÇÑÀÌ ¾ø´Ù´Â °ÍÀÌ´Ù.
¾Ç¼º »ç¿ëÀÚ¶ó¸é ÀÌ Ãë¾àÁ¡À» ÅëÇØ ¹Î°¨ÇÑ Á¤º¸¿¡ Á¢±ÙÇÒ ¼öµµ ÀÖ°Ô µÇ°í, ±ÇÇÑÀ» »ó½ÂÇÒ ¼öµµ ÀÖ°Ô µÇ¸ç, ¾ÖÇø®ÄÉÀÌ¼Ç ¼¹ö¿¡¼ ¾Ç¼º ÇÁ·Î±×·¥À» ¼³Ä¡ÇÒ ¼öµµ ÀÖ°Ô µÈ´Ù. ¼¹ö¸¦ ±¸½ÉÁ¡À¸·Î »ï°í ³»ºÎ ³×Æ®¿öÅ© ¿©±âÀú±â¿¡ Á¢±ÙÇÒ ¼ö Àֱ⵵ ÇÏ´Ù.
¼¼ ¹ø° Ãë¾àÁ¡Àº XSS Ãë¾àÁ¡ÀÎ CVE-2020-28938·Î, Áß°£±Þ À§Çèµµ¸¦ °¡Áö°í ÀÖ´Ù. °ø°ÝÀÚ°¡ À̸¦ ÀͽºÇ÷ÎÀÕ Çϸé ÆäÀ̷ε带 ÀÓº£µå½ÃÅ´À¸·Î½á, °ü¸®ÀÚ ±ÇÇÑÀ» °¡Áø »ç¿ëÀÚ°¡ Ŭ¸¯Çϸé ÀÚ¿¬½º·´°Ô °ø°ÝÀÚ¿¡°Ô ÀÌ ±ÇÇÑÀÌ ³Ñ¾î°¡°Ô µÇ¾î ÀÖ´Ù. ÀÌ¿¡ ´ëÇÑ Á¦ÇÑ Á¶Ä¡°¡ ÀÖ±ä ÇÏÁö¸¸ ½¬º¤ ¿ìȸ°¡ °¡´ÉÇÏ´Ù´Â °Íµµ ¹àÇôÁ³´Ù.
¸¶Áö¸· Ãë¾àÁ¡Àº °æ·Î º¯°æ Ãë¾àÁ¡À¸·Î ³·Àº À§Çèµµ¸¦ °¡Áö°í ÀÖÀ¸¸ç CVE ¹øÈ£µµ ¾ÆÁ÷ ºÎ¿©µÇÁö ¾ÊÀº »óÅ´Ù. À̸¦ ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì °ø°ÝÀÚ´Â ¾ÖÇø®ÄÉÀÌ¼Ç ³» ÁöÁ¤µÈ µð·ºÅ丮 ¹Ù±ù¿¡ ÆÄÀÏÀ» ÀúÀåÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ¡°°ü¸®ÀÚ±Þ »ç¿ëÀÚ´Â /admin/theme_new/php ¿£µåÆ÷ÀÎÆ®¸¦ ÅëÇØ »õ·Î¿î Å׸¶¸¦ ¾ÖÇø®ÄÉÀ̼ǿ¡ ¾÷·ÎµåÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. »õ·Î¿î ÆÄÀϵéÀÌ ¿ÀÇÂŬ¸®´ÐÀÌ ¼³Ä¡µÈ css Æú´õ¿¡ »ý¼ºµÉ ¼ö ÀÖ°Ô ÇØÁÝ´Ï´Ù. °ø°ÝÀÚ´Â ¿©±â¼ºÎÅÍ css Æú´õ ¹Ù±ùÀ¸·Î Ž»öÀ» ÁøÇàÇØ ÆÄÀÏ ½Ã½ºÅÛ ¾Æ¹« µ¥³ª ÆÄÀÏÀ» ÀúÀåÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
ÀÌ Ãë¾àÁ¡µéÀÌ Ã³À½ ¹ß°ßµÈ °Ç 8¿ù¸» °æÀ̾ú´Ù. ºñ¼ó Æø½º´Â ¿ÀÇÂŬ¸®´Ð °³¹ßÀÚ¿¡°Ô ¿©·¯ ¹ø ¿¬¶ôÀ» ½ÃµµÇßÁö¸¸ ´äÀåÀ» ¹ÞÀ» ¼ö ¾ø¾ú´Ù°í ÇÑ´Ù. ¡°ÇöÀç ½ÃÀå¿¡ ³ª¿Í ÀÖ´Â ¿ÀÇÂŬ¸®´Ð ¸ðµç ¹öÀüÀÌ ÀÌ Ãë¾àÁ¡µé¿¡ ³ëÃâµÇ¾î ÀÖ½À´Ï´Ù. µû¶ó¼ ¿ÀÇÂŬ¸®´ÐÀÇ ´ëü ¼ÒÇÁÆ®¿þ¾î¸¦ ã´Â ÆíÀÌ Á¦ÀÏ ¾ÈÀüÇÒ °ÍÀÔ´Ï´Ù.¡±
3ÁÙ ¿ä¾à
1. ¿À·¡µÈ ÀÇ·á ±â·Ï °ü¸® ¿ÀǼҽº ¼ÒÇÁÆ®¿þ¾î¿¡¼ Ãë¾àÁ¡ 4°³ ¹ß°ßµÊ.
2. ÀÌ Ãë¾àÁ¡À» ÅëÇØ °ø°ÝÀÚ´Â °¢Á¾ °³ÀÎ ½Äº° Á¤º¸¸¦ Å»ÃëÇÒ ¼ö ÀÖ°Ô µÊ.
3. 4³â µÈ Ãë¾àÁ¡, ¿ÀÇÂŬ¸®´Ð °³¹ßÀÚ Ãø¿¡´Â ¿¬¶ôÀÌ ´êÁö ¾ÊÀ½.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>