메인 콘텐츠로 건너뛰기
모든 제품 보기
컴퓨팅
스토리지
데이터베이스
네트워킹
개발자 툴
전송
보안
서비스
업계
가격
커뮤니티
저희와 함께하세요
블로그 살펴보기
카테고리
13
  1. 클라우드 개요
    50
  2. 컴퓨팅
    15
  3. 컨테이너(쿠베르네츠, 도커)
    33
  4. 데이터베이스
    19
  5. 개발자 툴
    37
  6. Linode
    259
  7. Linux
    69
  8. Multicloud
    4
  9. 네트워킹
    32
  10. 오픈 소스
    6
  11. 파트너 네트워크
    7
  12. 보안
    60
  13. 스토리지
    22
저자 53
  1. Austin Gil 1
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Bradley LaBoon 1
  9. Blair Lyon 11
  10. Billy Thompson 10
  11. Christopher Aker 176
  12. Cassie Bubnis 1
  13. Daniele Polencic 4
  14. David Monschein 2
  15. David Rodriguez 1
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 1
  23. Justin Cobbett 15
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 52
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 18
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Rick Myers 7
  45. Richard Tubb 1
  46. Sal Carrasco 1
  47. Salman Iqbal 1
  48. Shawn Michels 1
  49. Linode Support 13
  50. Tom Asaro 18
  51. Travis Baka 1
  52. Talia Nassi 8
  53. Yuri Goldfeld 1
블로그보안리노드 보안 다이제스트, 2022년 12월 4일 - 11일

리노드 보안 다이제스트 2022년 12월 4일 – 11일

Linode
The Linode Security Team
2022년 12월 9일
리노드 시큐리티 다이제스트

이번 주 다이제스트에서 우리는 다음에 대해 논의 할 것입니다 :

  • Grafana 보안 릴리스;
  • VLC의 정수 오버플로; 그리고
  • Snapd 경쟁 조건 취약점.

Grafana 보안 릴리스

권한 에스컬레이션: 임의의 엔드포인트에 대한 무단 액세스

CVE-2022-39328은 Grafana 코드베이스의 경쟁 조건으로, 인증되지 않은 사용자가 Grafana 에서 임의의 엔드포인트를 쿼리할 수 있게 해줍니다. HTTP 컨텍스트 생성의 경쟁 조건으로 인해 HTTP 요청에 다른 호출의 인증/권한 부여 미들웨어가 할당될 수 있습니다. 부하가 많은 경우 권한 있는 미들웨어로 보호되는 호출이 공개 쿼리의 미들웨어를 대신 수신할 수 있습니다. 그 결과 인증되지 않은 사용자가 악의적인 의도를 가지고 보호된 엔드포인트를 성공적으로 쿼리할 수 있습니다.

Grafana 버전 >=9.2.x의 모든 설치가 영향을 받습니다. CVE-2022-39328을 완전히 해결하려면 Grafana 에서 인스턴스 업그레이드를 권장합니다. 

권한 에스컬레이션: 사용자 이름/이메일 주소를 신뢰할 수 없음

Grafana 관리자는 자신이 관리자로 있는 조직에 다른 구성원을 초대할 수 있습니다. 관리자가 조직에 회원을 추가하면 기존 회원이 조직에 직접 추가되는 동안 기존 회원이 아닌 사용자에게는 이메일 초대가 전송됩니다. 초대 링크가 전송되면 링크에 액세스할 수 있는 사람은 누구나 사용자가 선택한 사용자 이름/이메일 주소로 가입하여 조직의 구성원이 될 수 있습니다. CVE-2022-39306의 CVSS 점수는 6.4 보통입니다.

All installations for Grafana versions <=9.x, <8.x are impacted. To fully address CVE-2022-39306, Grafana recommends upgrading your instances.

사용자 이름 열거

로그인 페이지에서 비밀번호 찾기 기능을 사용할 경우 /api /user/password/sent-reset-email URL로 POST 요청이 이루어집니다. 사용자 이름이나 이메일이 존재하지 않는 경우 JSON 응답에 "사용자를 찾을 수 없음" 메시지가 포함되며, 인증되지 않은 사용자가 이를 활용하여 영향을 받은 엔드포인트의 정보를 공개할 수 있습니다.

The CVSS score for CVE-2022-39307 is 5.3 Moderate. All installations for Grafana versions <=9.x, <8.x are impacted. To fully address this vulnerability, Grafana recommends  upgrading your instances.

VLC의 정수 오버플로

VLC 미디어 플레이어(이전에는 VideoLAN 클라이언트, 일반적으로 간단히 VLC라고 함)는 VideoLAN 프로젝트에서 개발한 무료 오픈 소스 휴대용 크로스 플랫폼 미디어 플레이어 소프트웨어 및 스트리밍 미디어 서버입니다. CVE-2022-41325는 VNC 모듈에 있습니다. VLC는 URI를 사용하여 VNC 비디오 스트림을 표시할 수 있습니다( vlc vnc://ip_address_of_server:port/).

공격자가 VNC 서버를 제어할 수 있는 경우, VLC를 속여 메모리 버퍼를 예상보다 짧게 할당할 수 있습니다. 그러면 공격자는 강력한 상대적 "어디에 쓰기" 프리미티브를 갖게 됩니다. 공격자는 특정 조건에서 VLC를 충돌시키거나 임의의 코드를 실행할 수 있습니다. VNC 지원은 타사 라이브러리(LibVNCClient)를 통해 제공되지만, 영향을 받는 코드는 VLC 자체에 있습니다. 

버전 3.0.17.4 이하가 영향을 받습니다. VLC 팀은 여기에서 커밋을 통해 취약점을 수정했습니다.

스냅드 경쟁 조건 취약점

스냅-컨파인 프로그램은 컨테이너화된 소프트웨어 패키지인 스냅 애플리케이션의 실행 환경을 구성하기 위해 스냅드에서 내부적으로 사용됩니다. CVE-2022-3328은 Ubuntu 에 기본적으로 SUID-루트 프로그램으로 설치되는 snap-confine의 must_mkdir_and_open_with_perms() 함수의 경쟁 조건 취약성에 대해 설명합니다. 이는 CVE-2021-44731에 대한 수정의 일부로 도입되었습니다.

일반 사용자 권한을 가진 공격자는 다중 경로 권한 상승 취약점(CVE-2022-41974) 및 다중 경로 심볼릭 링크 취약점을 사용하여 /tmp 디렉터리를 파일 시스템의 모든 디렉터리에 바인딩하고 일반 사용자 권한을 ROOT 권한으로 승격할 수 있습니다. 

영향을 받는 스냅드 버전은 2.54.3 - 2.57.6입니다. 현재 이 취약점을 수정한 공식 보안 버전이 출시되었습니다. 영향을 받는 사용자는 최신 버전으로 업그레이드하는 것이 좋습니다.

추천 사항

랜섬웨어 공격으로부터 자신을 보호하는 방법, 스티브 윈터펠드가 소개하는 특집 이미지.

랜섬웨어 공격으로부터 자신을 보호하는 방법 | Steve Winterfeld, Akamai

이 비디오에서는 Akamai의 자문 CISO인 스티브 윈터펠드가 랜섬웨어 공격으로부터 기업을 보호하는 방법에 대한 조언을 공유합니다.
보안
와즈는 해리와 함께하는 코드가 특징인 사이버 보안 강국입니다.

Wazuh는 사이버 보안의 강자 | 전문 오픈소스 보안 Monitoring & 대응

코드위드해리는 보안 데이터 수집 및 분석에 사용되는 오픈소스 보안 플랫폼인 Wazuh에 대해 다룹니다.
보안
서버 보안 소개.
탈리아 나시

서버 보안 소개

2023년 10월 30일
by 탈리아 나시
서버 보안은 효과적인 클라우드 환경을 위해 필수적입니다. 여기에서 자세히 알아보세요.
보안

내용

댓글 남기기

이메일 주소는 게시되지 않습니다. 필수 필드가 표시됩니다 *