빵집 보안 취약점이라니~

KISA에서 아래와 같은 보안 취약점 주의 권고를 내보냈습니다.

빵집 압축 유틸리티에서 ACE 압축포맷을 처리할때  발생하는 파일 저장 경로 조작 취약점(CVE-2018-20250)
영향 받는 버전을 이용중인 사용자는 악성코드 감염 등에 취약할 수 있으므로, 대응방안에 따라 조치 필요

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35072

KISA 인터넷 보호나라&KrCERT

저 타이틀만 보면 마치 빵집에만 문제가 있는 것처럼 보이는데, 사실 모든 압축 소프트웨어에서 발생한 취약점입니다. ACE 압축 포맷을 사용하기 위한 라이브러리에서 발생한 취약점인데, 해당 라이브러리 업데이트가 중단되면서 취약점을 해소할 수 없었던 것이죠.

 

아마도 KISA에서 이를 발견하고 관련 업체에 수정 요청을 보내서 운영중인 소프트웨어는 업데이트를 진행했습니다. 라이브러리를 수정할 수 없어서 ACE 압축 포맷 지원을 중단하고 해당 라이브러리를 삭제하는 조취를 취한 듯 합니다.

 

빵집의 경우는 업데이트가 중단된 상태이기 때문에 업데이트 버전을 제공할 수 없어, 주의 권고를 내보낸 듯 합니다. 2015년 개발자 블로그를 통해 개발 중단을 공지했다고 합니다.

 

Photo by  freestocks.org  on  Unsplash

 

KISA 공지를 보면 CVE-2018-20250 라는 코드가 있는데, 여기서 CVE는 Common Vulnerabilities and Exposures의 약자라고 합니다. 전세계에 취약점을 탐지할 수 있는 기관(CVE Numbering Authorities)들이 있고 탐지한 결과를 CVE 목록에 추가하는 것이라고 하네요.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20250

CVE - CVE-2018-20250

https://cve.mitre.org/about/index.html

CVE - Home

 

 

한국에는 2곳의 CNA가 있다고 합니다. 하나는 KISA입니다. 

KISA는 지난해(2017년) 5월부터 CVE번호부여권한 취득을 추진했고, 올해(2018년) 2월초 CNA 활동자격을 공식 확보했다. 20일 현재 마이터의 CNA 명단에 국내 SW보안취약 및 사이버위협 동향 업무를 맡고 있는 '침해사고대응팀(KrCERT/CC)' 이름으로 KISA가 등재돼 있다. KISA는 이로써 세계 84번째 CNA 자격 취득 조직이 됐다.

http://www.zdnet.co.kr/view/?no=20180220111319

한국SW 보안취약점, 전세계서 알아본다

또 하나는 네이버입니다. CNA 목록을 보면 벤더들도 괘 많이 참여하고 있습니다. 애플이나 알리바바 같은 기업도 참여하고 있지요. 

https://cve.mitre.org/cve/request_id.html

CVE - Request CVE IDs