2024-12-21 21:10 (토)
Git, SVN, Mercurial 오픈소스 프로젝트들, 최근 심각한 취약점 패치
상태바
Git, SVN, Mercurial 오픈소스 프로젝트들, 최근 심각한 취약점 패치
  • 길민권 기자
  • 승인 2017.08.14 08:23
이 기사를 공유합니다

소프트웨어 형상 관리(SCM) 툴, 임의코드실행 취약점 발견돼 주의

encryption-2.jpg
이용자가 많은 Git, SVN, Mercurial 오픈소스 프로젝트들이 최근 심각한 취약점들을 패치했다. 이용자들은 신속한 패치적용이 이루어져야 한다.

보안 연구원들은 유명 SCM 툴인 Bit, Subversion(svn), Mercurial에서 임의코드실행 취약점(CVE-2017-1000117)을 발견했으며, 최근 패치를 공개했다.

해당 취약점은 Linux kernel、GitHub과 Gitlab을 기반으로 하는 Git에 영향을 받는다.

취약점이 패치된 버전은 Git v2.14.1、2.7.6、v2.8.6、v2.9.5、v2.10.4、v2.11.3、v2.12.4와 v2.13.5 등이다. 해당 취약점을 사회공학적 기법과 함께 사용하면 더욱 쉽게 악용할 수 있다.

Git의 공지에는 "공격자는 희생자에게 특별히 변조한 ssh:// URL을 전달하며, 희생자가 해당 링크를 클릭하면 취약점을 통해 임의코드가 실행된다"고 명시되어 있다.

악성 URL을 프로젝트의 ".gitmodules" 폴더에 추가해 놓은 상태에서 희생자가 “git clone --recurse-submodules”를 실행시키면 바로 취약점을 악용할 수 있게 되는 것이다.

Apache Subversion(SVN)1.9.7 역시 CVE-2017-9800 취약점을 패치하였으며, 해당 취약점 역시 Git이 패치한 취약점 내용과 유사하다.

svn:externals과 svn:sync-from-url중에서 조작된 악성 svn+ssh URL를 이용하면 사용자 측에서 임의코드실행이 가능하며, 이번 SVN 업데이트를 통해 해당 취약점을 패치했다. 오픈소스인 Mercurial 역시 4.3과 4.2.3에서 취약점을 패치했다. [정보출처. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★