4.1.11๊ฐ์์ ๊ฐ๋ฐ ๊ธฐ๊ฐ๊ณผ ๋ง์ง๋ง ์ค์ํ ๋ฆด๋ฆฌ์ค ์ดํ 12๋ ๋ฐ์ด ์ง๋ ํ Office ์ ํ๊ตฐ์ธ Apache OpenOffice XNUMX์ ์์ ๋ฆด๋ฆฌ์ค๊ฐ ๊ตฌ์ฑ๋์์ผ๋ฉฐ XNUMX๊ฐ์ ์์ ์ฌํญ์ด ์ ์๋์์ต๋๋ค. Linux, Windows ๋ฐ macOS์ฉ ๊ธฐ์ฑ ํจํค์ง๊ฐ ์ค๋น๋์ด ์์ต๋๋ค.
์ ๋ฆด๋ฆฌ์ค์์๋ ์ธ ๊ฐ์ง ์ทจ์ฝ์ ์ด ์์ ๋์์ต๋๋ค.
- CVE-2021-33035 - ํน์ ์ ์๋ DBF ํ์ผ์ ์ด ๋ ์ฝ๋ ์คํ์ ํ์ฉํฉ๋๋ค. ์ด ๋ฌธ์ ๋ OpenOffice๊ฐ ํ๋์ ์ค์ ๋ฐ์ดํฐ ์ ํ์ด ์ผ์นํ๋์ง ํ์ธํ์ง ์๊ณ DBF ํ์ผ ํค๋์ fieldLength ๋ฐ fieldType ๊ฐ์ ์์กดํ์ฌ ๋ฉ๋ชจ๋ฆฌ๋ฅผ ํ ๋นํ๊ธฐ ๋๋ฌธ์ ๋ฐ์ํฉ๋๋ค. ๊ณต๊ฒฉ์ ์ํํ๋ ค๋ฉด fieldType ๊ฐ์ INTEGER ์ ํ์ ์ง์ ํ๋ฉด ๋์ง๋ง ๋ ํฐ ๋ฐ์ดํฐ๋ฅผ ๋ฐฐ์นํ๊ณ INTEGER ์ ํ์ ๋ฐ์ดํฐ ํฌ๊ธฐ์ ํด๋นํ์ง ์๋ fieldLength ๊ฐ์ ์ง์ ํ๋ฉด ๋ฐ์ดํฐ์ ๊ผฌ๋ฆฌ๊ฐ ๋ฐ์ํ๊ฒ ๋ฉ๋๋ค. ํ ๋น๋ ๋ฒํผ ๋๋จธ์ ๊ธฐ๋ก๋๋ ํ๋์์. ์ ์ด๋ ๋ฒํผ ์ค๋ฒํ๋ก์ ๊ฒฐ๊ณผ๋ก ํจ์์์ ๋ฐํ ํฌ์ธํฐ๋ฅผ ์ฌ์ ์ํ๊ณ ๋ฐํ ์งํฅ ํ๋ก๊ทธ๋๋ฐ ๊ธฐ์ (ROP - ๋ฐํ ์งํฅ ํ๋ก๊ทธ๋๋ฐ)์ ์ฌ์ฉํ์ฌ ์ฝ๋๋ฅผ ์คํํ ์ ์์ต๋๋ค.
- CVE-2021-40439๋ ํน๋ณํ ์ค๊ณ๋ ๋ฌธ์๋ฅผ ์ฒ๋ฆฌํ ๋ ์ฌ์ฉ ๊ฐ๋ฅํ ์์คํ ๋ฆฌ์์ค๋ฅผ ๊ณ ๊ฐ์ํค๋ "Billion Laughs" DoS ๊ณต๊ฒฉ(XML ํญํ)์ ๋๋ค.
- CVE-2021-28129 โ DEB ํจํค์ง์ ์ฝํ ์ธ ๊ฐ ๋ฃจํธ๊ฐ ์๋ ์ฌ์ฉ์๋ก ์์คํ ์ ์ค์น๋์์ต๋๋ค.
๋น๋ณด์ ๋ณ๊ฒฝ ์ฌํญ:
- ๋์๋ง ์น์ ํ ์คํธ์ ๊ธ๊ผด ํฌ๊ธฐ๊ฐ ์ฆ๊ฐ๋์์ต๋๋ค.
- Fontwork ๊ธ๊ผด์ ํจ๊ณผ๋ฅผ ์ ์ดํ ์ ์๋ ํญ๋ชฉ์ด ์ฝ์ ๋ฉ๋ด์ ์ถ๊ฐ๋์์ต๋๋ค.
- PDF ๋ด๋ณด๋ด๊ธฐ ๊ธฐ๋ฅ์ ํ์ผ ๋ฉ๋ด์ ๋๋ฝ๋ ์์ด์ฝ์ ์ถ๊ฐํ์ต๋๋ค.
- ODS ํ์์ผ๋ก ์ ์ฅํ ๋ ๋ค์ด์ด๊ทธ๋จ์ด ์์ค๋๋ ๋ฌธ์ ๊ฐ ํด๊ฒฐ๋์์ต๋๋ค.
- ์ด์ ๋ฆด๋ฆฌ์ค์ ์ถ๊ฐ๋ ์์ ํ์ธ ๋ํ ์์๋ก ์ธํด ์ผ๋ถ ์ ์ฉํ ๊ธฐ๋ฅ์ด ์ฐจ๋จ๋๋ ๋ฌธ์ ๊ฐ ํด๊ฒฐ๋์์ต๋๋ค(์: ๋์ผํ ๋ฌธ์์ ์น์ ์ ์ฐธ์กฐํ ๋ ๋ํ ์์๊ฐ ํ์๋จ).
์ถ์ฒ : opennet.ru