ÃֽŴº½º
¸®´ª½º ºí·çÅõ½º ÇÁ·ÎÅäÄÝ¿¡¼ ½É°¢ÇÑ ¡®ºí¸®µùÅõ½º¡¯ Ãë¾àÁ¡ ³ª¿Í | 2020.10.15 |
¸®´ª½º Ä¿³Î 5.9 ÀÌÀü ¹öÀü¿¡¼ ¹ß°ßµÈ ½É°¢ÇÑ Ãë¾àÁ¡...±ÇÇÑ »ó½Â°ú ÄÚµå ½ÇÇà ÀÎÅÚ¿¡¼´Â ÀÌ¿Í °ü·ÃµÇ¾î ÀÖÁö¸¸ À§Çèµµ Á¶±Ý ³·Àº Ãë¾àÁ¡ 2°³ ÆÐÄ¡ ¹ßÇ¥Çϱ⵵ [º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ±¸±Û°ú ÀÎÅÚÀÌ ¸®´ª½º ºí·çÅõ½º ÇÁ·ÎÅäÄÝÀÎ ºí·çÁö(BlueZ)¿¡¼ °íÀ§Ç豺¿¡ ¼ÓÇÏ´Â Ãë¾àÁ¡À» ¹ß°ßÇß´Ù. ºí·çÁö´Â ¸®´ª½º ±â¹Ý »ç¹°ÀÎÅÍ³Ý Àåºñµé¿¡ žÀçµÈ ºí·çÅõ½º ±â´ÉÀ» ±¸ÇöÇÏ´Â µ¥ ÀÖ¾î ÇÙ½ÉÀûÀÎ ¿ä¼Ò Áß Çϳª´Ù. ±¸±ÛÀº ¿©±â¿¡ ºí¸®µùÅõ½º(BleedingTooth)¶ó´Â À̸§À» ºÙ¿´´Ù. [À̹ÌÁö = utoimage] ±¸±Û¿¡ ÀÇÇÏ¸é ¸®´ª½º Ä¿³Î 5.9 ÀÌÀü ¹öÀüÀÇ °æ¿ì ºí¸®µùÅõ½º Ãë¾àÁ¡¿¡ ³ëÃâµÇ¾î ÀÖ´Ù°í ÇÑ´Ù. ºí·çÁö´Â °ø½Ä ¸®´ª½º Ä¿³Î 2.4.6ºÎÅÍ µµÀԵǾú´Ù. ºí¸®µùÅõ½º Ãë¾àÁ¡ÀÇ °¡Àå Å« Ư¡Àº ¡®Á¦·Î Ŭ¸¯ °ø°Ý¡¯À» °¡´ÉÇÏ°Ô ÇÑ´Ù´Â °ÍÀÌ´Ù. Áï ÇÇÇØÀÚ°¡ ƯÁ¤ ¸µÅ©¸¦ ´©¸£°Å³ª ÆÄÀÏÀ» ¿Áö ¾Ê¾Æµµ °ø°ÝÀÌ ¼º¸³µÈ´Ù´Â ¶æÀÌ´Ù. ºí¸®µùÅõ½º Ãë¾àÁ¡À» °ø·«ÇÏ´Â µ¥ ¼º°øÇÒ °æ¿ì °ø°ÝÀÚÀÇ ±ÇÇÑÀÌ »ó½ÂµÈ´Ù. ±¸±ÛÀº ±êÇãºê °Ô½Ã±ÛÀ» ÅëÇØ ¡°ºí·çÅõ½º ÀüÆÄ°¡ ´êÀ» ¸¸ ÇÑ °Å¸®¿¡ ÀÖ´Â °ø°ÝÀÚ°¡ ÇÇÇØÀÚÀÇ ºí·çÅõ½º ÁÖ¼Ò¸¦ ¾Ë¾Æ³¾ °æ¿ì ¾Ç¼º l2cap ÆÐŶÀ» º¸³¿À¸·Î½á µðµµ½º °ø°ÝÀ» Çϰųª Ä¿³Î ±ÇÇÑÀ» °¡Áö°í ÀÓÀÇ ÄÚµå ½ÇÇà °ø°ÝÀ» ÇÒ ¼ö ÀÖ°Ô µÈ´Ù¡±°í ¼³¸íÇß´Ù. ¾Ç¼º ºí·çÅõ½º ĨÀ» ÅëÇؼµµ ºí¸®µùÅõ½º Ãë¾àÁ¡À» ¹ßµ¿½ÃÅ°´Â °Ô °¡´ÉÇÏ´Ù°íµµ ½è´Ù. ºí¸®µùÅõ½º Ãë¾àÁ¡ÀÇ °ø½Ä °ü¸® ¹øÈ£´Â CVE-2020-12351ÀÌ´Ù. CVSS¸¦ ±âÁØÀ¸·Î 8.3Á¡À» ¹Þ¾Æ °íÀ§Ç豺À¸·Î ºÐ·ùµÈ´Ù. ÀÏÁ¾ÀÇ Å¸ÀÔ ÄÁÇ»Àü(type confusion) Ãë¾àÁ¡À̸ç, net/bluetooth/l2cap_core.c¿¡¼ ¹ß°ßµÈ´Ù°í ÇÑ´Ù. ŸÀÔ ÄÁÇ»ÀüÀ» ÀÏÀ¸Å°¸é ¿µ¿ª ¿Ü ¸Þ¸ð¸®¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°í, À̸¦ ÅëÇØ Äڵ带 ½ÇÇàÇϰųª ÀϺΠ¿ä¼Ò¸¦ ¸¶ºñ½Ãų ¼ö ÀÖ°Ô µÈ´Ù. ÀÌ·¸°Ô µÇ´Â °Ç, ºí·çÁö¸¦ Ä¿³Î ³»¿¡¼ ±¸ÇöÇßÀ» ¶§ »ç¿ëÀÚ°¡ Á¦°øÇÏ´Â ÀԷ°ªÀ» °ËÁõÇÏ´Â °úÁ¤ÀÌ ºÒÃæºÐÇϱ⠶§¹®ÀÌ´Ù. ±¸±ÛÀº ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ °³³äÁõ¸í ÀͽºÇ÷ÎÀÕ ¿µ»óÀ» ÇÔ²² °ø°³Çß´Ù. ¿µ»óÀº ´ÙÀ½ ÁÖ¼Ò(https://www.youtube.com/watch?v=qPYrLRausSw&feature=emb_logo)¿¡¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù. ¾ÕÀ¸·Î ºí·çÁö Ãë¾àÁ¡¿¡ ´ëÇÑ Ãß°¡ Á¤º¸´Â ¿©±â(https://security.googleblog.com/)¼ °ø°³µÉ ¿¹Á¤ÀÌ´Ù. ±¸±ÛÀÌ ±êÇãºê¿¡ °ø°³ÇÑ ³»¿ëÀº ¿©±â(https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq)¼ ¿¶÷ÇÒ ¼ö ÀÖ´Ù. ÀÎÅÚ Ãøµµ ¸®´ª½º Ä¿³Î »ç¿ëÀڵ鿡°Ô 5.10 ÀÌ»ó ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ® ÇÒ °ÍÀ» ±Ç°íÇÏ´Â ³»¿ëÀÇ ¹ßÇ¥¹®À» °ø°³Çß´Ù. ±×·¯¸é¼ ¡°±ÇÇÑ »ó½Â ¹× Á¤º¸ ³ëÃâÀ» ÀÏÀ¸Å³ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ ºí·çÁö¿¡¼ ¹ß°ßµÇ¾ú´Ù¡±°í ¼³¸íÇß´Ù. µ¿½Ã¿¡ ºÒÃæºÐÇÑ Á¢±Ù Á¦¾î ¶§¹®¿¡ ¹ß»ýÇÏ´Â Áß°£±Þ À§Ç豺 ¿À·ù µÎ °³¿¡ ´ëÇÑ ÇȽº¸¦ ¹ßÇ¥Çß´Ù. µÎ °¡Áö ÀüºÎ ºí·çÁö¿¡ ¿µÇâÀ» Áشٰí ÇÑ´Ù. ÀÌ µÎ °¡Áö Ãë¾àÁ¡Àº ´ÙÀ½°ú °°´Ù. 1) CVE-2020-12352 : ÀÎÁõ °úÁ¤À» Åë°úÇÏÁö ¾ÊÀº »ç¿ëÀÚ°¡ Àåºñ ±Ùó¿¡¼ Á¤º¸¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°Ô ÇØÁØ´Ù. »ç¿ëÀÚÀÇ ºí·çÅõ½º ÁÖ¼Ò¸¦ ¾Ë°í ÀÖÀ¸¸é Ä¿³Î ½ºÅà Á¤º¸¸¦ ÃëµæÇÒ ¼ö ÀÖ°Ô µÈ´Ù. 2) CVE-2020-24490 : ÀÎÁõ °úÁ¤À» Åë°úÇÏÁö ¾ÊÀº »ç¿ëÀÚ°¡ Àåºñ ±Ùó¿¡¼ µðµµ½º °ø°ÝÀ» ÇÒ ¼ö ÀÖ°Ô ÇØÁØ´Ù. °æ¿ì¿¡ µû¶ó ÀÓÀÇ ÄÚµå ½ÇÇà °ø°Ýµµ °¡´ÉÇÏ°Ô µÈ´Ù. ÀÎÅÚÀÌ °ø°³ÇÑ Ãë¾àÁ¡ ¼¼ºÎ ³»¿ë°ú ÇȽºµéÀº ¿©±â(https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html)¼ ¿¶÷ ¹× ´Ù¿î·Îµå°¡ °¡´ÉÇÏ´Ù. 3ÁÙ ¿ä¾à 1. ¸®´ª½º ±â¹Ý ÀåºñµéÀÇ ºí·çÅõ½º ¿ä¼Ò¿¡¼ ½É°¢ÇÑ Ãë¾àÁ¡ ¹ß°ßµÊ. 2. ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì ÇÇÇØÀÚÀÇ ÇൿÀÌ Çϳªµµ ¾ø¾îµµ °ø°ÝÀÌ °¡´ÉÇÏ°Ô µÊ. 3. ¸®´ª½º Ä¿³ÎÀ» 5.10 ÀÌ»ó ¹öÀüÀ¸·Î ¿Ã¸®´Â °ÍÀÌ Áö±Ý ÇÒ ¼ö ÀÖ´Â ´ëó. [±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)] <ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö> |
|