์ฝํ
์ธ ์ ๋ฌ ์์คํ
์์ ์บ์ฑ์ ๊ตฌ์ฑํ๋ ์ค ์ค๋ฅ๋ก ์ธํด ์ด์
๋ธ๋ฆฌ ์ค ํ๋๋ฅผ ๋ค์ด๋ก๋ํ๋ ค๊ณ ํ ๋ ์ถํ ๋ ๊ทธ์ ๊ป ๊ต์ ํด์ ํ์ด์ฌ 3.5.8 ํ์ฐ ๋ชจ๋ ์์ ์ฌํญ์ด ํฌํจ๋์ง ์์ ๋ฏธ๋ฆฌ๋ณด๊ธฐ ๋น๋์
๋๋ค. ๋ฌธ์ ๋ง์ง ์์นด์ด๋ธ ์ ์ฉ Python-3.5.8.tar.xz, ์งํ Python-3.5.8.tgz ์ฌ๋ฐ๋ฅด๊ฒ ๋ฐฐํฌ๋์์ต๋๋ค.
์ถ์ ํ ์ฒ์ 3.5.8์๊ฐ ์ด๋ด์ "Python-12.tar.xz" ํ์ผ์ ๋ค์ด๋ก๋ํ ๋ชจ๋ ์ฌ์ฉ์๋ ์ฒดํฌ์ฌ(MD5 4464517ed6044bca4fc78ea9ed086c36)์ ์ฌ์ฉํ์ฌ ๋ค์ด๋ก๋ํ ๋ฐ์ดํฐ์ ์ ํ์ฑ์ ํ์ธํ๋ ๊ฒ์ด ์ข์ต๋๋ค. ์ต์ข
๋ฆด๋ฆฌ์ค์ ๋ฌ๋ฆฌ ๋ฏธ๋ฆฌ๋ณด๊ธฐ ๋ฒ์ ์๋ ํฌํจ๋์ง ์์์ต๋๋ค. ์์ ์ทจ์ฝ์ CVE-2019-16935 XML-RPC ์๋ฒ ์ฝ๋์์. ์ด ์ทจ์ฝ์ ์ ๊บพ์ ๊ดํธ ์ด์ค์ผ์ดํ ๊ธฐ๋ฅ์ด ๋ถ์กฑํ์ฌ server_title ํ๋๋ฅผ ํตํ JavaScript ์ฃผ์
(XSS)์ ํ์ฉํ์ต๋๋ค. ์์ฉ ํ๋ก๊ทธ๋จ์ด ์ฌ์ฉ์ ์
๋ ฅ์ ๊ธฐ๋ฐ์ผ๋ก ์๋ฒ ์ด๋ฆ์ ์ค์ ํ๋ ๊ฒฝ์ฐ ๊ณต๊ฒฉ์๋ JavaScript ๋์ฒด๋ฅผ ๋ฌ์ฑํ ์ ์์ต๋๋ค(์: "server.set_server_name('test) โ)ยป).
์ถ์ฒ : opennet.ru