상세 컨텐츠
본문
많은 사람들이 사용하고 있는 Git, SVN, Mercurial 오픈소스 프로젝트들이 최근 심각한 취약점을 패치하였습니다.
보안 연구원들은 유명 SCM 툴인 Git, Subversion(svn), Mercurial에서 임의코드실행 취약점(CVE-2017-1000117)을 발견하였으며, 최근 패치를 공개하였습니다.
해당 취약점은 Linux kernel、GitHub과 Gitlab을 기반으로 하는 Git에 영향을 받습니다.
취약점이 패치된 버전은 Git v2.14.1、2.7.6、v2.8.6、v2.9.5、v2.10.4、v2.11.3、v2.12.4와 v2.13.5 입니다.
취약점 악용
해당 취약점을 사회공학적 기법과 함께 사용하면 더욱 쉽게 악용할 수 있습니다.
Git의 공지에는 "공격자는 희생자에게 특별히 변조한 ssh:// URL을 전달하며, 희생자가 해당 링크를 클릭하면 취약점을 통해 임의코드가 실행된다"고 명시되어 있습니다.
악성 URL을 프로젝트의 ".gitmodules" 폴더에 추가해 놓은 상태에서 희생자가 “git clone --recurse-submodules”를 실행시키면 바로 취약점을 악용할 수 있게되는 것입니다.
Apache Subversion(SVN)1.9.7 역시 CVE-2017-9800 취약점을 패치하였으며, 해당 취약점 역시 Git이 패치한 취약점 내용과 유사합니다.
svn:externals과 svn:sync-from-url중에서 조작된 악성 svn+ssh URL를 이용하면 사용자 측에서 임의코드실행이 가능하며, 이번 SVN 업데이트를 통하여 해당 취약점을 패치하였습니다.
오픈소스인 Mercurial 역시 4.3과 4.2.3에서 취약점을 패치하였습니다.
출처 :
http://blog.recurity-labs.com/2017-08-10/scm-vulns
https://www.mail-archive.com/linux-kernel@vger.kernel.org/msg1466490.html
'국내외 보안동향' 카테고리의 다른 글
| 사이버 스파이들, 호텔 고객들을 스파잉 하기 위해 유출 된 NSA 해킹 툴들 사용해 (0) | 2017.08.16 |
|---|---|
| CouchPotato: 실시간으로 영상 스트리밍을 원격 스파잉하는 CIA 해킹 툴 (0) | 2017.08.11 |
| 자율 주행 자동차, 거리 표지판에 스티커를 붙이는 것 만으로 해킹 가능해 (0) | 2017.08.11 |
| Windows10, 9월부터 Wosign과 StartCom 인증서를 신뢰하지 않기로 해 (0) | 2017.08.10 |
| Photoshop을 RAT 처럼 이용할 수 있다고? (0) | 2017.08.10 |
댓글 영역