ํต์ ๋์ง ์์ ์ฌ๊ท ๋ฐ์์ ํ์ฉํ๋ ์ทจ์ฝ์ (CVE-2021-3997)์ด systemd-tmpfiles ์ ํธ๋ฆฌํฐ์์ ํ์ธ๋์์ต๋๋ค. ์ด ๋ฌธ์ ๋ /tmp ๋๋ ํ ๋ฆฌ์ ๋ง์ ์์ ํ์ ๋๋ ํ ๋ฆฌ๋ฅผ ์์ฑํ์ฌ ์์คํ ๋ถํ ์ค์ ์๋น์ค ๊ฑฐ๋ถ๋ฅผ ์ ๋ฐํ๋ ๋ฐ ์ฌ์ฉ๋ ์ ์์ต๋๋ค. ์์ ์ฌํญ์ ํ์ฌ ํจ์น ํํ๋ก ์ ๊ณต๋ฉ๋๋ค. ๋ฌธ์ ๋ฅผ ํด๊ฒฐํ๊ธฐ ์ํ ํจํค์ง ์ ๋ฐ์ดํธ๋ Ubuntu ๋ฐ SUSE์์ ์ ๊ณต๋์ง๋ง Debian, RHEL ๋ฐ Fedora์์๋ ์์ง ์ฌ์ฉํ ์ ์์ต๋๋ค(์์ ์ฌํญ์ ํ ์คํธ ์ค).
์์ฒ ๊ฐ์ ํ์ ๋๋ ํฐ๋ฆฌ๋ฅผ ์์ฑํ ๋ "systemd-tmpfiles --remove" ์์ ์ ์ํํ๋ฉด ์คํ ์๋ชจ๋ก ์ธํด ์ถฉ๋์ด ๋ฐ์ํฉ๋๋ค. ์ผ๋ฐ์ ์ผ๋ก systemd-tmpfiles ์ ํธ๋ฆฌํฐ๋ ํ ๋ฒ์ ํธ์ถ๋ก ๋๋ ํฐ๋ฆฌ๋ฅผ ์ญ์ ํ๊ณ ์์ฑํ๋ ์์ ("systemd-tmpfiles โcreate โremove โboot โexclude-prefix=/dev")์ ์ํํฉ๋๋ค. ์ญ์ ๊ฐ ๋จผ์ ์ํ๋ ๋ค์ ์์ฑ์ด ์ํ๋ฉ๋๋ค. ์ญ์ ๋จ๊ณ์์ ์คํจํ๋ฉด /usr/lib/tmpfiles.d/*.conf์ ์ง์ ๋ ์ค์ํ ํ์ผ์ด ์์ฑ๋์ง ์์ต๋๋ค.
Ubuntu 21.04์ ๋ํ ๋ ์ํํ ๊ณต๊ฒฉ ์๋๋ฆฌ์ค๋ ์ธ๊ธ๋ฉ๋๋ค. systemd-tmpfiles์ ์ถฉ๋๋ก ์ธํด /run/lock/subsys ํ์ผ์ด ์์ฑ๋์ง ์๊ณ /run/lock ๋๋ ํฐ๋ฆฌ๋ ๋ชจ๋ ์ฌ์ฉ์๊ฐ ์ธ ์ ์์ผ๋ฏ๋ก ๊ณต๊ฒฉ์๋ / ํด๋น ์๋ณ์๋ก/lock/ ๋๋ ํ ๋ฆฌ subsys๋ฅผ ์คํํ๊ณ ์์คํ ํ๋ก์ธ์ค์ ์ ๊ธ ํ์ผ๊ณผ ๊ต์ฐจํ๋ ์ฌ๋ณผ๋ฆญ ๋งํฌ ์์ฑ์ ํตํด ์์คํ ํ์ผ ๋ฎ์ด์ฐ๊ธฐ๋ฅผ ๊ตฌ์ฑํฉ๋๋ค.
๋ํ ์ทจ์ฝ์ ์ด ์์ ๋ Flatpak, Samba, FreeRDP, Clamav ๋ฐ Node.js ํ๋ก์ ํธ์ ์ ๋ฆด๋ฆฌ์ค๊ฐ ๋ฐํ๋์๋ค๋ ์ฌ์ค๋ ํ์ธํ ์ ์์ต๋๋ค.
- ์์ฒด ํฌํจ Flatpak ํจํค์ง 1.10.6 ๋ฐ 1.12.3์ ๋น๋ํ๊ธฐ ์ํ ํดํท์ ์์ ๋ฆด๋ฆฌ์ค์์๋ ๋ ๊ฐ์ง ์ทจ์ฝ์ ์ด ์์ ๋์์ต๋๋ค. ์ฒซ ๋ฒ์งธ ์ทจ์ฝ์ (CVE-2021-43860)์ ์ ๋ขฐํ ์ ์๋ ์ ์ฅ์์์ ํจํค์ง๋ฅผ ๋ค์ด๋ก๋ํ ๋ ๋ค์์ ํตํด ํ์ฉ๋ฉ๋๋ค. ์ค์น ํ๋ก์ธ์ค ์ค ํน์ ๊ณ ๊ธ ๊ถํ ํ์๋ฅผ ์จ๊ธฐ๊ธฐ ์ํด ๋ฉํ๋ฐ์ดํฐ๋ฅผ ์กฐ์ํฉ๋๋ค. ๋ ๋ฒ์งธ ์ทจ์ฝ์ (CVE ์์)์ ํจํค์ง ์ด์ ๋ธ๋ฆฌ ์ค์ "platpak-builder โmirror-screenshots-url" ๋ช ๋ น์ ์ฌ์ฉํ์ฌ ๋น๋ ๋๋ ํฐ๋ฆฌ ์ธ๋ถ์ ํ์ผ ์์คํ ์์ญ์ ๋๋ ํฐ๋ฆฌ๋ฅผ ์์ฑํ ์ ์๋๋ก ํ์ฉํฉ๋๋ค.
- Samba 4.13.16 ์
๋ฐ์ดํธ๋ ํด๋ผ์ด์ธํธ๊ฐ SMB2021 ๋๋ NFS ํํฐ์
์ ์ฌ๋ณผ๋ฆญ ๋งํฌ๋ฅผ ์กฐ์ํ์ฌ ๋ด๋ณด๋ธ FS ์์ญ ์ธ๋ถ์ ์๋ฒ์ ๋๋ ํฐ๋ฆฌ๋ฅผ ์์ฑํ ์ ์๊ฒ ํ๋ ์ทจ์ฝ์ (CVE-43566-1)์ ์ ๊ฑฐํฉ๋๋ค(์ด ๋ฌธ์ ๋ ๊ฒฝ์ ์กฐ๊ฑด์ผ๋ก ์ธํด ๋ฐ์ํจ). ์ค์ ๋ก ์
์ฉํ๊ธฐ๋ ์ด๋ ต์ง๋ง ์ด๋ก ์ ์ผ๋ก๋ ๊ฐ๋ฅํฉ๋๋ค. 4.13.16 ์ด์ ๋ฒ์ ์ ์ด ๋ฌธ์ ์ ์ํฅ์ ๋ฐ์ต๋๋ค.
์ธ์ฆ๋ ํด๋ผ์ด์ธํธ๊ฐ ์ฌ๋ณผ๋ฆญ ๋งํฌ ์กฐ์์ ํตํด ๋ด๋ณด๋ธ ์น์ ์ธ๋ถ์ FS ์๋ฒ ์์ญ์ ์๋ ํ์ผ ๋๋ ๋๋ ํฐ๋ฆฌ ๋ฉํ๋ฐ์ดํฐ์ ๋ด์ฉ์ ์ฝ๊ฑฐ๋ ๋ณ๊ฒฝํ ์ ์๋ ๋ ๋ค๋ฅธ ์ ์ฌํ ์ทจ์ฝ์ (CVE-2021-20316)์ ๋ํ ๋ณด๊ณ ์๋ ๊ฒ์๋์์ต๋๋ค. ์ด ๋ฌธ์ ๋ ๋ฆด๋ฆฌ์ค 4.15.0์์ ์์ ๋์์ง๋ง ์ด์ ๋ถ๊ธฐ์๋ ์ํฅ์ ๋ฏธ์นฉ๋๋ค. ๊ทธ๋ฌ๋ ์ด์ Samba VFS ์ํคํ ์ฒ์์๋ ๋ฉํ๋ฐ์ดํฐ ์์ ์ ํ์ผ ๊ฒฝ๋ก์ ๋ฐ์ธ๋ฉํ์ฌ ๋ฌธ์ ๋ฅผ ์์ ํ ์ ์์ผ๋ฏ๋ก ์ด์ ๋ถ๊ธฐ์ ๋ํ ์์ ์ฌํญ์ ๊ฒ์๋์ง ์์ต๋๋ค(Samba 4.15์์๋ VFS ๊ณ์ธต์ด ์์ ํ ์ฌ์ค๊ณ๋์์ต๋๋ค). ๋ฌธ์ ๋ฅผ ๋ ์ํํ๊ฒ ๋ง๋๋ ๊ฒ์ ์๋์ด ๋งค์ฐ ๋ณต์กํ๊ณ ์ฌ์ฉ์์ ์ก์ธ์ค ๊ถํ์ด ๋์ ํ์ผ์ด๋ ๋๋ ํฐ๋ฆฌ์ ๋ํ ์ฝ๊ธฐ ๋๋ ์ฐ๊ธฐ๋ฅผ ํ์ฉํด์ผ ํ๋ค๋ ๊ฒ์ ๋๋ค.
- RDP(์๊ฒฉ ๋ฐ์คํฌํฑ ํ๋กํ ์ฝ)์ ๋ฌด๋ฃ ๊ตฌํ์ ์ ๊ณตํ๋ FreeRDP 2.5 ํ๋ก์ ํธ ๋ฆด๋ฆฌ์ค์์๋ ์๋ชป๋ ๋ก์ผ์ผ์ ์ฌ์ฉํ์ฌ ํน๋ณํ ์ค๊ณ๋ ๋ ์ง์คํธ๋ฆฌ๋ฅผ ์ฒ๋ฆฌํ ๋ ๋ฒํผ ์ค๋ฒํ๋ก๋ก ์ด์ด์ง ์ ์๋ ์ธ ๊ฐ์ง ๋ณด์ ๋ฌธ์ (CVE ์๋ณ์๊ฐ ํ ๋น๋์ง ์์)๋ฅผ ์์ ํ์ต๋๋ค. ์ค์ ๋ฐ ์๋ชป๋ ํ์์ ์ถ๊ฐ ๊ธฐ๋ฅ ์ด๋ฆ์ ๋ํ๋ ๋๋ค. ์ ๋ฒ์ ์ ๋ณ๊ฒฝ ์ฌํญ์๋ OpenSSL 3.0 ๋ผ์ด๋ธ๋ฌ๋ฆฌ ์ง์, TcpConnectTimeout ์ค์ ๊ตฌํ, LibreSSL๊ณผ์ ํฅ์๋ ํธํ์ฑ ๋ฐ Wayland ๊ธฐ๋ฐ ํ๊ฒฝ์ ํด๋ฆฝ๋ณด๋ ๋ฌธ์ ์ ๋ํ ์๋ฃจ์ ์ด ํฌํจ๋ฉ๋๋ค.
- ๋ฌด๋ฃ ๋ฐ์ด๋ฌ์ค ๋ฐฑ์ ํจํค์ง ClamAV 0.103.5 ๋ฐ 0.104.2์ ์ ๋ฆด๋ฆฌ์ค์์๋ ์๋ชป๋ ํฌ์ธํฐ ์ฝ๊ธฐ์ ๊ด๋ จ๋ ์ทจ์ฝ์ CVE-2022-20698์ ์ ๊ฑฐํ๊ณ ํจํค์ง๊ฐ libjson- c ๋ผ์ด๋ธ๋ฌ๋ฆฌ ๋ฐ CL_SCAN_GENERAL_COLLECT_METADATA ์ต์ ์ด ์ค์ ์์ ํ์ฑํ๋ฉ๋๋ค(clamscan --gen-json).
- Node.js ํ๋ซํผ ์ ๋ฐ์ดํธ 16.13.2, 14.18.3, 17.3.1 ๋ฐ 12.22.9์์๋ ๋ค ๊ฐ์ง ์ทจ์ฝ์ ์ ์์ ํฉ๋๋ค. ์ฆ, SAN(์ฃผ์ฒด ๋์ฒด ์ด๋ฆ)์ ๋ฌธ์์ด ํ์(CVE-)์ผ๋ก ์๋ชป ๋ณํํ์ฌ ๋คํธ์ํฌ ์ฐ๊ฒฐ์ ํ์ธํ ๋ ์ธ์ฆ์ ํ์ธ์ ์ฐํํ๋ ๊ฒ์ ๋๋ค. 2021-44532); ์ธ์ฆ์์์ ์ธ๊ธ๋ ํ๋์ ํ์ธ์ ์ฐํํ๋ ๋ฐ ์ฌ์ฉ๋ ์ ์๋ ์ ๋ชฉ ๋ฐ ๋ฐ๊ธ์ ํ๋์ ์ฌ๋ฌ ๊ฐ ์ด๊ฑฐ๋ฅผ ์๋ชป ์ฒ๋ฆฌํฉ๋๋ค(CVE-2021-44533). ์ธ์ฆ์์ SAN URI ์ ํ๊ณผ ๊ด๋ จ๋ ์ ํ ์ฌํญ์ ์ฐํํฉ๋๋ค(CVE-2021-44531). ๋์งํธ ํค์ ๋น ๋ฌธ์์ด์ ํ ๋นํ๋ ๋ฐ ์ฌ์ฉํ ์ ์๋ console.table() ํจ์์ ์ ๋ ฅ ์ ํจ์ฑ ๊ฒ์ฌ๊ฐ ์ถฉ๋ถํ์ง ์์ต๋๋ค(CVE-2022-21824).
์ถ์ฒ : opennet.ru