๋ค์ํ ์คํ ์์ค ํ๋ก์ ํธ์์ ๊ฐ๋ฐ์ ๊ฐ์ ํต์ ์ ๊ตฌ์ฑํ๋ ๋ฐ ์ฌ์ฉ๋๋ GNU Mailman 2.1.35 ๋ฉ์ผ๋ง ๊ด๋ฆฌ ์์คํ ์ ์์ ๋ฆด๋ฆฌ์ค๊ฐ ๊ฒ์๋์์ต๋๋ค. ์ด ์ ๋ฐ์ดํธ๋ ๋ ๊ฐ์ง ์ทจ์ฝ์ ์ ํด๊ฒฐํฉ๋๋ค. ์ฒซ ๋ฒ์งธ ์ทจ์ฝ์ (CVE-2021-42096)์ ๋ฉ์ผ๋ง ๋ชฉ๋ก์ ๊ฐ์ ํ ๋ชจ๋ ์ฌ์ฉ์๊ฐ ํด๋น ๋ฉ์ผ๋ง ๋ชฉ๋ก์ ๊ด๋ฆฌ์ ๋น๋ฐ๋ฒํธ๋ฅผ ํ์ธํ ์ ์๋๋ก ํ์ฉํฉ๋๋ค. ๋ ๋ฒ์งธ ์ทจ์ฝ์ (CVE-2021-42097)์ผ๋ก ์ธํด ๋ค๋ฅธ ๋ฉ์ผ๋ง ๋ฆฌ์คํธ ์ฌ์ฉ์์ ๋ํด CSRF ๊ณต๊ฒฉ์ ์ํํ์ฌ ๊ทธ์ ๊ณ์ ์ ํ์ทจํ ์ ์์ต๋๋ค. ๊ณต๊ฒฉ์ ๋ฉ์ผ๋ง ๋ฆฌ์คํธ์ ๊ฐ์ ๋ ํ์๋ง ์ํํ ์ ์์ต๋๋ค. Mailman 3์ ์ด ๋ฌธ์ ์ ์ํฅ์ ๋ฐ์ง ์์ต๋๋ค.
๋ ๊ฐ์ง ๋ฌธ์ ๋ชจ๋ ์ต์
ํ์ด์ง์์ CSRF ๊ณต๊ฒฉ์ผ๋ก๋ถํฐ ๋ณดํธํ๋ ๋ฐ ์ฌ์ฉ๋๋ csrf_token ๊ฐ์ด ํญ์ ๊ด๋ฆฌ์ ํ ํฐ๊ณผ ๋์ผํ๊ณ ํ์ฌ ์ธ์
์ ์ฌ์ฉ์์ ๋ํด ๋ณ๋๋ก ์์ฑ๋์ง ์๋๋ค๋ ์ฌ์ค๋ก ์ธํด ๋ฐ์ํฉ๋๋ค. csrf_token์ ์์ฑํ ๋ ๊ด๋ฆฌ์ ๋น๋ฐ๋ฒํธ์ ํด์์ ๋ํ ์ ๋ณด๊ฐ ์ฌ์ฉ๋๋ฏ๋ก ๋ฌด์ฐจ๋ณ ๋์
์ ์ํ ๋น๋ฐ๋ฒํธ ๊ฒฐ์ ์ด ๋จ์ํ๋ฉ๋๋ค. ํ ์ฌ์ฉ์๋ฅผ ์ํด ์์ฑ๋ csrf_token์ ๋ค๋ฅธ ์ฌ์ฉ์์๊ฒ๋ ์ ํฉํ๋ฏ๋ก ๊ณต๊ฒฉ์๋ ๋ค๋ฅธ ์ฌ์ฉ์๊ฐ ์ด ๋ ์ด ์ฌ์ฉ์๋ฅผ ๋์ ํ์ฌ Mailman ์ธํฐํ์ด์ค์์ ๋ช
๋ น์ด ์คํ๋๋๋ก ํ๊ณ ๊ทธ์ ๊ณ์ ์ ์ ์ดํ ์ ์๋ ํ์ด์ง๋ฅผ ์์ฑํ ์ ์์ต๋๋ค.
์ถ์ฒ : opennet.ru