PNG 참조 라이브러리인 libpng 에서 취약점 발견!

PNG 참조 라이브러리인 libpng 에서 취약점 발견!

PNG pongs: critical bug patched in ubiquitous libpng

PNG 참조 라이브러리인 libpng에서 취약점이 발견되었습니다. libpng는 광범위하게 쓰이는 라이브러리로, 시스템 브라우저들이 축소되어 있는 이미지들을 처리하는 과정에서 해당 라이브러리를 사용하기도 합니다. 

이번에 발견된 libpng 취약점을 이용하면 서버 가용성에 영향을 주어 정상적인 서비스를 제공하지 못하도록 할 수 있습니다. 뿐만 아니라 해당 취약점을 이용하면 공격자들이 시스템을 파괴시킬 수 있으며, 다른 공격들의 시작점으로 이용할 수도 있습니다. 

Libpng 보안 책임자인 Glenn Randers-Pehrson은 해당 취약점에 대하여 CVE를 신청하였다고 하였습니다. 그는 인터뷰에서 아래와 같이 말했습니다. 

우리는 모든 libpng 중의 png_set_PLTE / png_get_PLTE 함수에 대하여 CVE 보안취약점 신청을 하였습니다. 이 함수들은 bit_depth가 8보다 작아 색상 팔레트 범위에서 찾을 수 없는 png문서들을 쓰거나 읽을 때 사용되는 함수입니다. 일부 프로그램에서는 문서의 IHDR중에서 비트의 심도를 읽고 2^N의 팔레트에 메모리를 할당하는데, 이런 과정 중에서 비트 심도가 8보다 낮을 경우 libpng는 여전히 256색의 팔레트를 반환합니다. 

현재 libpng의 1.6.19, 1.5.24, 1.4.17, 1.2.54 및 1.0.64등의 버전은 2015년 11월 12일 이미 패치되었으며, 자세한 내용은 libpng.sourceforge.net에서 확인할 수 있습니다. 

이 취약점은 악용하기 쉽고, 위험성을 갖고 있어 CVE-2015-8126라는 번호와 CVSS점수 7.5점을 받았습니다. NIST에서는 “이 취약점을 이용하면 권한이 없는 사용자가 정보를 유출하고 수정할 수도 있으며, 심지어 서버를 멈출 수도 있다”고 발표하였습니다.

▶ 취약점 자세히 보기 : 

http://www.libpng.org/pub/png/libpng.html

http://www.openwall.com/lists/oss-security/2015/11/12/2

참고 :

http://www.theregister.co.uk/2015/11/15/png_pongs_critical_bug_patched_in_ubiquitous_libpng/