메인 콘텐츠로 건너뛰기
모든 제품 보기
컴퓨팅
스토리지
네트워킹
Databases
서비스
개발자 툴
업계
가격
커뮤니티
저희와 함께하세요
블로그 살펴보기
카테고리
13
  1. 클라우드 개요
    51
  2. 컴퓨팅
    27
  3. 컨테이너(쿠베르네츠, 도커)
    35
  4. Databases
    21
  5. 개발자 툴
    42
  6. Linode
    262
  7. Linux
    69
  8. Multicloud
    4
  9. 네트워킹
    33
  10. 오픈 소스
    6
  11. 파트너 네트워크
    7
  12. 보안
    63
  13. 스토리지
    24
저자 58
  1. Alex Leung 5
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 6
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jorge Gaona 1
  26. Jonathan Hill 2
  27. Justin Mitchel 4
  28. James Steel 5
  29. Jamie Sherkness 8
  30. Linode 69
  31. Linode Events 8
  32. The Linode Security Team 122
  33. The Linode Network & Security Teams 1
  34. LINQ 1
  35. Leslie Salazar 1
  36. Michelle Berg 1
  37. Mitch Donaberger 1
  38. Mike Fischler 1
  39. Mike Maney 10
  40. Maddie Presland 20
  41. Mike Quatrani 4
  42. Nathan Melehan 2
  43. Nigel Poulton 1
  44. Philip McGuinness 1
  45. Prasoon Pushkar 1
  46. Peter Sari 1
  47. Rick Myers 7
  48. Richard Tubb 1
  49. Sal Carrasco 1
  50. Salman Iqbal 1
  51. Stuart Macleod 1
  52. Shawn Michels 1
  53. Linode Support 14
  54. Tom Asaro 18
  55. Travis Baka 2
  56. Talia Nassi 16
  57. Tim Vereecke 1
  58. Yuri Goldfeld 1
블로그 안전 Linode 보안 다이제스트 2022년 10월 16-23

Linode Security Digest 2022년 10월 16-23일

Linode
The Linode Security Team
2022년 10월 20일
리노드 시큐리티 다이제스트

이번 주 다이제스트에서 우리는 다음에 대해 논의 할 것입니다 :

  • 리노드 Terraform (TF) 공급자 결정적 암호 생성
  • Apache 공용 텍스트 원격 코드 실행 (RCE)
  • Vm2 샌드박스 이스케이프 투 RCE

리노드 Terraform 공급자가 시드되지 않은 결정적 암호를 만듭니다. 

에서 보안 취약점이 발견되었습니다. 리노드 Terraform 공급자, 다음을 사용하여 Linode 인스턴스 프로비저닝을 자동화하도록 설계된 플러그인 Terraform. Terraform 는 서버에서 소프트웨어를 관리하는 대신 서버를 생성, 수정 및 파괴하는 데 중점을 둔 IaC 도구입니다. 

이 취약점은 로 생성된 Linode에 영향을 미칩니다. Terraform 플러그인 버전 v1.29.3. 안에 Terraform 공급자, 루트 암호를 제공하지 않고 Linode가 생성되면 TF 공급자는 임의로 생성된 암호를 사용합니다. 영향을 받는 플러그인 버전은 암호 생성 기능의 변경으로 인해 결정론적 암호를 생성하는 것 같습니다. 취약한 구성 요소는 수학 / 랜드 사용과 관련이 있습니다. Go 무작위 암호 생성을 위해 암호화 / RAND 대신 패키지. 또한 수학 / 랜드 패키지가 시드되지 않았습니다. 

향후 배포를 보호하려면 Linode를 업그레이드하십시오. Terraform 공급자 도구를 최신 버전으로 현재 v1.29.4로 변경했습니다. 즉시 업그레이드할 수 없는 경우 영향을 받는 플러그인을 통해 배포된 인스턴스의 루트 암호를 변경할 수도 있습니다.

추가 지원이 필요하거나 질문이 있는 경우 support@linode.com 문의하십시오.

Apache 공용 텍스트 원격 코드 실행 (RCE)

Apache Commons Text performs variable interpolation, allowing properties to be dynamically evaluated and expanded. The standard format for interpolation is “${prefix:name}”, where “prefix” is used to locate an instance of org.apache.commons.text.lookup.StringLookup that performs the interpolation.

CVE-2022-42889 는 다음 위치에 있는 원격 코드 실행입니다. Apache 공용 텍스트 버전 1.5부터 1.9까지, (StringSubstitutor 클래스의) 기본 조회 인스턴스 집합에는 임의 코드가 실행되거나 원격 서버와 연결될 수 있는 보간기가 포함되어 있습니다. 취약한 조회는 다음과 같습니다.

  • "script" – JVM 스크립트 실행 엔진(javax.script)을 사용하여 표현식을 실행합니다.
  • "dns" – DNS 레코드를 확인합니다. 
  • "url" – URL에서 값 로드

또한 영향을 받는 버전에서 보간 기본값을 사용하는 원격 서버 응용 프로그램은 신뢰할 수 없는 구성 값을 사용하는 경우 원격 코드 실행 또는 원격 서버와의 의도하지 않은 연결에 취약할 수 있습니다. 

이 라이브러리가 설치되어 있는지 확인하는 방법은 'find / -type f -name 'commons-text*.jar''을 실행하면 접두사가 commons-text인 .jar 파일이 제공됩니다. 

수정 사항은 다음으로 시작하여 사용할 수 있습니다. Apache 공용 텍스트 1.10.0. 이 버그 수정은 기본적으로 dns, url스크립트 조회 보간자를 사용하지 않도록 설정합니다. 신뢰할 수 없는 데이터를 수락하고 처리하는 위치에서 입력을 삭제하는 것을 포함하는 다른 해결 방법도 적용할 수 있습니다. 

Vm2 샌드박스 이스케이프 투 RCE

vm2는 허용 목록에 있는 노드의 내장 모듈로 신뢰할 수 없는 코드를 실행할 수 있는 샌드박스 역할을 하는 널리 사용되는 npm 패키지입니다. 이 패키지는 한 달에 1,600 만 회 이상 다운로드되는 매우 인기가 있으므로 vm2 패키지가 설치된 애플리케이션에 대해 활용할 수있는 가치있는 취약점입니다. 

CVE-2022-36067 은 사용자가 vm2의 샌드박스를 이스케이프하고 샌드박스를 실행하는 호스트에 액세스할 수 있는 vm2 샌드박스 라이브러리에 있는 원격 코드 실행입니다. 이 취약점은 현재 버전 3.9.10 이하에 영향을 미칩니다. 

이 취약점에는 prepareStackTrace 메서드 사용이 포함되며, 이 메서드는 개발자가 응용 프로그램에서 발생한 오류의 호출 스택을 사용자 지정할 수 있도록 합니다. 메서드는 "오류" 개체를 만드는 "오류" 생성자입니다. 오류가 발생하고 throw된 오류 객체의 "stack" 속성에 액세스하면, Node.js 는 이 메서드를 호출하면서 "CallSite" 개체의 배열과 함께 오류의 문자열 표현을 인수로 제공합니다. 

연구원들은 전역 Error 개체를 자신의 개체로 재정의하는 것으로 시작했습니다. 이 새 개체를 통해 공격자는 prepareStackTrace 함수를 사용하여 스택 프레임에서 "this" 개체를 반환하는 데 사용되는 함수인 "getThis"라는 샌드박스가 적용되지 않은 함수를 활용할 수 있습니다. 이 스택 프레임 객체는 샌드박스를 이스케이프하고 코드가 실행 중인 호스트에서 코드를 실행하는 함수를 실행할 수 있는 샌드박스가 적용되지 않은 객체입니다. 

수정 사항은 vm2 3.9.11부터 사용할 수 있습니다. 

추천 사항

스톱워치와 "보안이 아닌 지연 시간 단축"이라는 텍스트가 있는 체크 표시가 있는 방패가 표시된 일러스트레이션
필립 맥기네스

보안이 아닌 지연 시간 단축

2024년 10월 3일
by 필립 맥기네스
CSP(콘텐츠 보안 정책)는 웹사이트와 웹 애플리케이션을 공격으로부터 보호하기 위해 브라우저에 구현된 보안 기능입니다.
보안

클라우드 기반 엔터프라이즈: 클라우드 보안

주문형
2024년 9월 20일
주요 클라우드 보안 회사의 전문가와 함께 ID 및 액세스 관리, 데이터 암호화, 위협 탐지, 데이터 보안 태세 관리 등 클라우드 보안을 위한 최신 전략과 기술에 대해 알아보세요.
보안
알렉스 렁

무의미한 것이 무해하지 않을 수 있습니다: 빈 보안 질문이 있는 로그인 페이지의 이야기

Sep 17, 2024
by Alex Leung
공격자가 로그인 페이지의 보안 취약점을 악용하는 방법을 알아보고 모범 사례를 통해 웹 애플리케이션을 보호하는 방법을 알아보세요.
보안

내용

댓글 남기기

이메일 주소는 게시되지 않습니다. 필수 필드가 표시됩니다 *