์๋ก์ด ๊ธฐ๋ฅ์ ๊ฐ๋ฐ์ด ๊ณ์๋๋ nginx 1.23.2์ ๋ฉ์ธ ๋ธ๋์น๊ฐ ์ถ์๋์์ ๋ฟ๋ง ์๋๋ผ ์ฌ๊ฐํ ์ค๋ฅ ์ ๊ฑฐ์ ๊ด๋ จ๋ ๋ณ๊ฒฝ ์ฌํญ๋ง ํฌํจํ๋ nginx 1.22.1์ ๋ณ๋ ฌ ์ง์ ์์ ๋ธ๋์น๋ ์ถ์๋์์ต๋๋ค. ์ทจ์ฝ์ .
์ ๋ฒ์ ์ H.2022/AAC ํ์์ ํ์ผ์์ ์คํธ๋ฆฌ๋ฐ์ ๊ตฌ์ฑํ๋ ๋ฐ ์ฌ์ฉ๋๋ ngx_http_mp41741_module ๋ชจ๋์ ๋ ๊ฐ์ง ์ทจ์ฝ์ (CVE-2022-41742, CVE-4-264)์ ์ ๊ฑฐํฉ๋๋ค. ์ด ์ทจ์ฝ์ฑ์ ํน์ ์ ์๋ mp4 ํ์ผ์ ์ฒ๋ฆฌํ ๋ ๋ฉ๋ชจ๋ฆฌ ์์ ๋๋ ๋ฉ๋ชจ๋ฆฌ ๋์๋ก ์ด์ด์ง ์ ์์ต๋๋ค. ๊ฒฐ๊ณผ์ ์ผ๋ก ์์ ํ๋ก์ธ์ค์ ๊ธด๊ธ ์ข ๋ฃ๊ฐ ์ธ๊ธ๋์ง๋ง ์๋ฒ์์ ์ฝ๋ ์คํ ๊ตฌ์ฑ๊ณผ ๊ฐ์ ๋ค๋ฅธ ์งํ๋ ๋ฐฐ์ ๋์ง ์์ต๋๋ค.
4๋ ์ ngx_http_mp2012_module ๋ชจ๋์์ ์ ์ฌํ ์ทจ์ฝ์ ์ด ์ด๋ฏธ ์์ ๋์๋ค๋ ์ ์ ์ฃผ๋ชฉํ ๋งํฉ๋๋ค. ๋ํ F5๋ HLS(Apple HTTP ๋ผ์ด๋ธ ์คํธ๋ฆฌ๋ฐ) ํ๋กํ ์ฝ์ ์ง์ํ๋ ngx_http_hls_module ๋ชจ๋์ ์ํฅ์ ๋ฏธ์น๋ NGINX Plus ์ ํ์ ์ ์ฌํ ์ทจ์ฝ์ (CVE-2022-41743)์ ๋ณด๊ณ ํ์ต๋๋ค.
์ทจ์ฝ์ ์ ์ ๊ฑฐํ๋ ๊ฒ ์ธ์๋ nginx 1.23.2์์๋ ๋ค์๊ณผ ๊ฐ์ ๋ณ๊ฒฝ ์ฌํญ์ด ์ ์๋์์ต๋๋ค.
- Type-Length-Value PROXY v2 ํ๋กํ ์ฝ์ ๋ํ๋๋ TLV(Type-Length-Value) ํ๋์ ๊ฐ์ ํฌํจํ๋ "$proxy_protocol_tlv_*" ๋ณ์์ ๋ํ ์ง์์ด ์ถ๊ฐ๋์์ต๋๋ค.
- ssl_session_cache ์ง์๋ฌธ์์ ๊ณต์ ๋ฉ๋ชจ๋ฆฌ๋ฅผ ์ฌ์ฉํ ๋ ์ฌ์ฉ๋๋ TLS ์ธ์ ํฐ์ผ์ ๋ํ ์ํธํ ํค์ ์๋ ์ํ์ ์ ๊ณตํฉ๋๋ค.
- ์๋ชป๋ SSL ๋ ์ฝ๋ ์ ํ๊ณผ ๊ด๋ จ๋ ์ค๋ฅ์ ๋ํ ๋ก๊น ์์ค์ด ์ค์ ์์ค์์ ์ ๋ณด ์์ค์ผ๋ก ๋ฎ์์ก์ต๋๋ค.
- ์ ์ธ์ ์ ๋ฉ๋ชจ๋ฆฌ๋ฅผ ํ ๋นํ ์ ์๋ค๋ ๋ฉ์์ง์ ๋ก๊น ์์ค์ด ๊ฒฝ๊ณ ์์ ๊ฒฝ๊ณ ๋ก ๋ณ๊ฒฝ๋์์ผ๋ฉฐ ์ด๋น ํ๋์ ํญ๋ชฉ ์ถ๋ ฅ์ผ๋ก ์ ํ๋์์ต๋๋ค.
- Windows ํ๋ซํผ์์๋ OpenSSL 3.0์ ์ฌ์ฉํ ์ด์ ๋ธ๋ฆฌ๊ฐ ๊ตฌ์ถ๋์์ต๋๋ค.
- ๋ก๊ทธ์ PROXY ํ๋กํ ์ฝ ์ค๋ฅ ๋ฐ์์ด ๊ฐ์ ๋์์ต๋๋ค.
- OpenSSL ๋๋ BoringSSL ๊ธฐ๋ฐ TLSv1.3์ ์ฌ์ฉํ ๋ "ssl_session_timeout" ์ง์๋ฌธ์ ์ง์ ๋ ์๊ฐ ์ ํ์ด ์๋ํ์ง ์๋ ๋ฌธ์ ๋ฅผ ์์ ํ์ต๋๋ค.
์ถ์ฒ : opennet.ru