<p><span><span style="color: #333333;">Weezer</span></span><span> <b>(클리앙)</b></span></p><p> 2024-03-31 17:17:20 <span style="color: #999999;">수정일 : 2024-03-31 17:19:03</span> </p><p> </p><p>모든 GNU/리눅스 운영체제에서 데이터 압축에 필요한 필수 유틸리티를 제공하는 인기 오픈소스인 ‘XZ Utils’ 라이브러리에서 백도어가 발견돼 전 세계 소프트웨어 및 보안 업계에 비상이 걸렸다. 특히, 해당 백도어 악성코드는 수많은 기업과 사용자들을 대상으로 한 소프트웨어 공급망 공격으로 볼 수 있어 피해 규모가 어느 정도 확대될지 파장이 커지고 있다.</p><p> </p><p>해커뉴스 등 주요 보안/IT 외신에 따르면 레드햇은 29일(현지시간) ‘XZ Utils’라는 데이터 압축 라이브러리의 두 가지 버전에 무단 원격 액세스를 허용하도록 설계된 백도어가 심겨져 있었다며 ‘긴급 보안 경고’를 발표했다.<br><br>해당 취약점(CVE-2024-3094)은 소프트웨어 공급망 공격의 일종으로 CVSS 점수는 10.0으로 최대 심각도를 나타낸다. 해당 취약점은 최근 출시된 XZ Utils 버전 5.6.0(2월 24일 출시) 및 5.6.1(3월 9일 출시)에 영향을 미치는 것으로 알려졌다.<br><br>IBM Security도 권고문에서 “일련의 복잡한 난독화 과정을 거쳐 XZ Utils 라이브러리에 연결된 모든 소프트웨어에서 사용할 수 있는 수정된 liblzma 라이브러리가 생성되어 XZ Utils 라이브러리와의 데이터 상호 작용을 가로채고 수정한다”고 밝혔다.<br><br>또한, 마이크로소프트의 보안연구원 Andres Freund도 29일에 이 문제를 발견하고 보고한 것으로 알려졌다. 고도로 난독화된 해당 악성코드는 Jia Tan(JiaT75)이라는 사용자가 깃허브(GitHub)의 Tukaani Project에서 활용한 것으로 드러났다.<br><br>이에 마이크로소프트가 소유하고 있는 깃허브는 이후 깃허브의 서비스 약관 위반을 이유로 들어 Tukaani Project에서 유지 관리하는 XZ Utils 리포지토리를 비활성화했다.<br><br>- 중략 -</p><p><br>이번 사태로 미국의 보안전담기관인 CISA는 사용자에게 XZ Utils를 손상되지 않은 버전(예: XZ Utils 5.4.6 Stable)으로 다운그레이드 할 것을 촉구하는 경고를 발령했다</p><p>———————————————</p><p>유닉스 계통(Linux, OSX 등)에서 많이 사용하고 있는 xz 압축 유틸리티에, 원격 접속을 가능하게 하는 백도어가 숨겨져 배포되었다는 기사입니다. </p><p> </p><p>맥 사용자도 brew upgrade 꼭 하라고 하네요. </p><p>5.4.6 버전으로 다운그레이드해야 합니다. </p><p> </p><p><span><b>출처 :</b></span><span><a href="https://m.boannews.com/html/detail.html?idx=128350&page=1&kind=1" target="_top" class="ke-link">https://m.boannews.com/html/detail.html?idx=128350&page=1&kind=1</a></span></p>
<!-- -->
첫댓글 댓글 중---
black.dog
클리앙에 이 뉴스가 이렇게 늦게 올라오고, 반응이 없음에 놀랍니다.
좀 더 자세한 내용을 아래 링크에 있고
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
해당 테러리스트(!)의 다른 프로젝트, 커밋들도 재리뷰 중인 걸로 보입니다.
https://github.com/libarchive/libarchive/issues/2103
망고쉐킷
이거 발견하게 된 계기가 평소 200ms 걸리던 ssh 접속이 800ms 걸려서라고 하더군요.. ㄷㄷ