높은 심각도: xz-utils 보안 취약점

xz-utils 5.6.0 / 5.6.1 버전을 사용하고 계신 경우 가능하면 낮은 버전으로 다운그레이드 또는 최신 버전으로 업그레이드를 진행하시고, WSL, macOS 사용자 분들께서는 곧 배포될 보안 업데이트를 놓치지 마시고 꼭 챙기셔야 겠습니다.

OpenAI 요약

최근 XZ Utils와 관련된 취약점이 큰 이슈가 되고 있습니다. 이 취약점은 CVE-2024-3094로 등록되었으며, Red Hat에 의해 공개되었습니다. 이 문제는 XZ Utils의 5.6.0 및 5.6.1 버전에서 발견되었습니다.

Cleemy Desu Wayo에 의해 발견된 이 취약점은 XZ Utils가 특정 파일명을 잘못 처리하는 것과 관련이 있습니다. 구체적으로, 사용자나 자동화 시스템이 특별히 조작된 파일명을 가지고 xzgrep 작업을 수행하도록 속일 경우, 원격 공격자가 임의의 파일을 덮어쓸 수 있는 가능성이 있습니다.

이 보안 결함은 심각한 위험을 제기하며, 가능한 위협을 완화하기 위해 즉시 업데이트나 패치를 적용해야 합니다. 사용자들은 이 취약점과 관련된 보안 침해를 피하기 위해 설치된 프로그램을 신속하게 업데이트할 것이 권장됩니다​ (Wikipedia)​​ (Cloud Foundry)​.

참고 자료

4 Likes

와… 검색해보니 정말 무서운 일이 벌어졌네요.

그동안 집단 지성의 힘을 믿고 쓰던 오픈소스가

2년정도 노력하면 나의 백도어로 만들수가 있었군요.

2 Likes

이번 xz 이슈가 워낙 파급력이 강하고 강렬해서 그렇긴 합니다만, 사실 닷넷에서도 nuget이나 winget처럼 커뮤니티 주도로 패키지 리포지터리를 운영하는 환경에서 패키지를 선택해서 사용할 때는 무척 주의를 기울여야 하는 부분이 있습니다.

옆 동네 사례 중에는 log4j라는 악몽도 있었고요.

1 Like