๋ทํ๋ฆญ์ค์ ๊ตฌ๊ธ์ ์ฐ๊ตฌ์ง
๋ฌธ์ ๋ ์ด์ง ๊ตฌ์กฐ ์ฌ์ฉ, ์ฐ๊ฒฐ ๋ด ๋ฐ์ดํฐ ํ๋ฆ ์ ํ ์์คํ , ํ๋ฆ ์ฐ์ ์์ ์ง์ ๋ฉ์ปค๋์ฆ, HTTP/2 ์ฐ๊ฒฐ์์ ์๋ํ๋ ICMP์ ๊ฐ์ ์ ์ด ๋ฉ์์ง์ ์กด์ฌ์ ๊ด๋ จ๋ HTTP/2 ํ๋กํ ์ฝ์ ๋์ ๋ ๋ณต์ก์ฑ์ผ๋ก ์ธํด ๋ฐ์ํ์ต๋๋ค. ์์ค(์: ํ, ์ฌ์ค์ , ํ๋ฆ ์ค์ ) ๋ง์ ๊ตฌํ์ด ์ ์ด ๋ฉ์์ง์ ํ๋ฆ์ ์ ์ ํ๊ฒ ์ ํํ์ง ์์๊ฑฐ๋, ์์ฒญ์ ์ฒ๋ฆฌํ ๋ ์ฐ์ ์์ ํ๋ฅผ ํจ์จ์ ์ผ๋ก ๊ด๋ฆฌํ์ง ์์๊ฑฐ๋, ํ๋ฆ ์ ์ด ์๊ณ ๋ฆฌ์ฆ์ ์ฐจ์ ๊ตฌํ์ ์ฌ์ฉํ์ต๋๋ค.
ํ์ธ๋ ๊ณต๊ฒฉ ๋ฐฉ๋ฒ์ ๋๋ถ๋ถ์ ์๋ฒ์ ํน์ ์์ฒญ์ ๋ณด๋ด๋ ๊ฒ์ผ๋ก ๊ท๊ฒฐ๋์ด ๋ง์ ์์ ์๋ต์ด ์์ฑ๋ฉ๋๋ค. ํด๋ผ์ด์ธํธ๊ฐ ์์ผ์์ ๋ฐ์ดํฐ๋ฅผ ์ฝ์ง ์๊ณ ์ฐ๊ฒฐ์ ๋ซ์ง ์์ผ๋ฉด ์๋ฒ ์ธก์ ์๋ต ๋ฒํผ๋ง ํ๊ฐ ๊ณ์ํด์ ์ฑ์์ง๋๋ค. ์ด ๋์์ ๋คํธ์ํฌ ์ฐ๊ฒฐ์ ์ฒ๋ฆฌํ๊ธฐ ์ํ ๋๊ธฐ์ด ๊ด๋ฆฌ ์์คํ ์ ๋ก๋๋ฅผ ์์ฑํ๊ณ ๊ตฌํ ๊ธฐ๋ฅ์ ๋ฐ๋ผ ์ฌ์ฉ ๊ฐ๋ฅํ ๋ฉ๋ชจ๋ฆฌ ๋๋ CPU ๋ฆฌ์์ค๊ฐ ๊ณ ๊ฐ๋ฉ๋๋ค.
ํ์ธ๋ ์ทจ์ฝ์ :
- CVE-2019-9511(๋ฐ์ดํฐ ๋๋ฆฌ๋ธ) - ๊ณต๊ฒฉ์๋ ์ฌ๋ผ์ด๋ฉ ์ฐฝ ํฌ๊ธฐ์ ์ค๋ ๋ ์ฐ์ ์์๋ฅผ ์กฐ์ํ์ฌ ์๋ฒ๊ฐ ๋ฐ์ดํฐ๋ฅผ 1๋ฐ์ดํธ ๋ธ๋ก์ผ๋ก ๋๊ธฐ์ด์ ๋ฃ๋๋ก ํ์ฌ ์ฌ๋ฌ ์ค๋ ๋์ ๋๋์ ๋ฐ์ดํฐ๋ฅผ ์์ฒญํฉ๋๋ค.
- CVE-2019-9512(Ping Flood) - ๊ณต๊ฒฉ์๋ HTTP/2 ์ฐ๊ฒฐ์ ํตํด ์ง์์ ์ผ๋ก ping ๋ฉ์์ง๋ฅผ ๊ฐ์ผ์์ผ ์ ์ก๋ ์๋ต์ ๋ด๋ถ ํ๊ฐ ์๋๋ฐฉ์์ ํ๋ฌ๋ฉ๋๋๋ก ํฉ๋๋ค.
- CVE-2019-9513(๋ฆฌ์์ค ๋ฃจํ) - ๊ณต๊ฒฉ์๋ ์ฌ๋ฌ ์์ฒญ ์ค๋ ๋๋ฅผ ์์ฑํ๊ณ ์ค๋ ๋์ ์ฐ์ ์์๋ฅผ ์ง์์ ์ผ๋ก ๋ณ๊ฒฝํ์ฌ ์ฐ์ ์์ ํธ๋ฆฌ๋ฅผ ์์ต๋๋ค.
- CVE-2019-9514(Reset Flood) - ๊ณต๊ฒฉ์๊ฐ ์ฌ๋ฌ ์ค๋ ๋๋ฅผ ์์ฑํฉ๋๋ค.
๊ทธ๋ฆฌ๊ณ ๊ฐ ์ค๋ ๋๋ฅผ ํตํด ์ ํจํ์ง ์์ ์์ฒญ์ ๋ณด๋ด ์๋ฒ๊ฐ RST_STREAM ํ๋ ์์ ๋ณด๋ด๊ฒ ํ์ง๋ง ์๋ต ๋๊ธฐ์ด์ ์ฑ์ฐ๋๋ก ํ์ฉํ์ง ์์ต๋๋ค. - CVE-2019-9515(์ค์ ํ๋ฌ๋) - ๊ณต๊ฒฉ์๋ ๋น "SETTINGS" ํ๋ ์ ์คํธ๋ฆผ์ ๋ณด๋ ๋๋ค. ์ด์ ๋ํ ์๋ต์ผ๋ก ์๋ฒ๋ ๊ฐ ์์ฒญ์ ์์ ์ ํ์ธํด์ผ ํฉ๋๋ค.
- CVE-2019-9516(0 ๊ธธ์ด ํค๋ ๋์ถ) โ ๊ณต๊ฒฉ์๊ฐ null ์ด๋ฆ๊ณผ null ๊ฐ์ ์ฌ์ฉํ์ฌ ํค๋ ์คํธ๋ฆผ์ ๋ณด๋ด๊ณ , ์๋ฒ๋ ๊ฐ ํค๋๋ฅผ ์ ์ฅํ๊ธฐ ์ํด ๋ฉ๋ชจ๋ฆฌ์ ๋ฒํผ๋ฅผ ํ ๋นํ๊ณ ์ธ์ ์ด ๋๋ ๋๊น์ง ์ด๋ฅผ ํด์ ํ์ง ์์ต๋๋ค. ;
- CVE-2019-9517(๋ด๋ถ ๋ฐ์ดํฐ ๋ฒํผ๋ง) - ๊ณต๊ฒฉ์ ์คํ
์๋ฒ๊ฐ ์ ํ ์์ด ๋ฐ์ดํฐ๋ฅผ ์ ์กํ๊ธฐ ์ํ HTTP/2 ์ฌ๋ผ์ด๋ฉ ์ฐฝ์ด์ง๋ง TCP ์ฐฝ์ ๋ซ์ ๋์ด ์ค์ ๋ก ์์ผ์ ๋ฐ์ดํฐ๊ฐ ๊ธฐ๋ก๋๋ ๊ฒ์ ๋ฐฉ์งํฉ๋๋ค. ๋ค์์ผ๋ก ๊ณต๊ฒฉ์๋ ๋๊ท๋ชจ ์๋ต์ด ํ์ํ ์์ฒญ์ ๋ณด๋ ๋๋ค. - CVE-2019-9518(๋น ํ๋ ์ ํ๋ฌ๋) - ๊ณต๊ฒฉ์๋ DATA, HEADERS, CONTINUATION ๋๋ PUSH_PROMISE ์ ํ์ ํ๋ ์ ์คํธ๋ฆผ์ ์ ์กํ์ง๋ง ๋น ํ์ด๋ก๋์ ํ๋ฆ ์ข ๋ฃ ํ๋๊ทธ๊ฐ ์์ต๋๋ค. ์๋ฒ๋ ๊ณต๊ฒฉ์๊ฐ ์๋นํ๋ ๋์ญํญ์ ๋นํด ๊ฐ ํ๋ ์์ ์ฒ๋ฆฌํ๋ ๋ฐ ์๊ฐ์ ์๋นํฉ๋๋ค.
์ถ์ฒ : opennet.ru