메인 콘텐츠로 건너뛰기
블로그보안리노드 보안 다이제스트, 2022년 4월 8일 - 14일

Linode Security Digest - 2022년 4월 8일~14일

리노드 시큐리티 다이제스트

이번 주에는 GNU gzip의 zgrep 유틸리티의 심각도가 높은 취약점, 공급망 버그에 대한 가시성을 확장하는 GitHub의 새로운 기능, Git 리포지토리 내부의 비밀을 스캔하는 도구인 TruffleHog의 중요한 업데이트에 대해 설명합니다.

gzip의 zgrep 유틸리티의 임의 파일 쓰기 취약점

CVE-2022-1271은 GNU gzip의 zgrep 유틸리티에서 발견되는 임의 파일 쓰기 취약점입니다. 공격자가 선택한 파일 이름에 zgrep를 적용하면 공격자가 선택한 임의의 파일에 공격자의 콘텐츠를 덮어쓸 수 있습니다. 

이 동일한 취약점은 5.2.5, 5.3.1alpha 및 5.3.2alpha까지 버전에 대한 Tukaani XZ Utils의 xzgrep에도 영향을 미칩니다. 이 버그는 gzip의 zgrep에서 상속된 것으로 알려져 있습니다.

이 취약점은 트렌드마이크로의 제로데이 이니셔티브에서 일하는 "cleemy desu wayo"에 의해 발견되었습니다.

근본 원인 - 이 결함은 두 개 이상의 줄 바꿈이 있는 파일 이름을 처리할 때 유효성 검사가 충분하지 않아서 발생합니다. 공격자는 대상 파일 이름과 파일에 대한 원하는 콘텐츠를 모두 포함하는 여러 줄의 파일 이름을 만들 수 있습니다. 이 결함으로 인해 원격의 낮은 권한 공격자가 시스템에 임의의 파일을 쓰도록 zgrep를 강제로 실행할 수 있습니다.

이 버그는 gzip-1.3.10에 도입되었으며 비교적 악용하기 어렵습니다. 모든 이전 버전이 영향을 받는 것으로 알려져 있으며 수정 사항은 gzip 버전 1.12에서 찾을 수 있습니다.

공급망 버그를 감지하는 기능을 도입한 GitHub

GitHub는 최근 풀 리퀘스트에서 종속성 변경 사항을 스캔하고 새로운 종속성에 알려진 공급망 취약성이 있는 경우 오류를 발생시키는 종속성 검토 동작을 도입했습니다. 이 작업은 두 리비전 간의 종속성을 비교하는 API 엔드포인트에서 지원됩니다. 이 작업은 풀 리퀘스트에 대한 종속성 변경 사항을 GitHub 자문 데이터베이스에서 스캔하여 새로운 종속성으로 인해 취약점이 발생하는지 확인하는 방식으로 작동합니다.

이 조치는 이미 존재할 수 있는 취약점을 보고하는 것이 아니라 사용자 환경에 도입되는 취약점을 경고하기 때문에 기존 Dependabot 도구에 대한 추가 조치로 볼 수 있습니다.

종속성 검토 작업은 현재 공개 베타 버전이며 모든 공개 리포지토리와 GitHub Enterprise Cloud를 사용하는 조직에 속한 개인 리포지토리에서 GitHub 고급 보안 라이선스가 있는 경우 사용할 수 있습니다. 

트러플 시큐리티, 트러플호그 v3 출시

트러플호그는 트러플 시큐리티에서 개발한 도구로, Git에 커밋된 API 키, 비밀번호 및 기타 비밀을 탐지하는 데 사용됩니다. 4월 4일, 트러플 시큐리티의 딜런 아이레이가 TruffleHog v3를 소개했습니다. 새 버전은 Go 에서 완전히 재작성되었으며 강력한 새 기능을 다수 도입했습니다. 가장 주목할 만한 변경 사항으로는 각 API에 대한 활성 검증을 지원하는 600개 이상의 자격 증명 감지기, GitHub, GitLab, 파일 시스템 및 S3 을 스캔하는 기본 지원 등이 있습니다. 

좀 더 자세히 살펴보면 스캐너의 런타임 속도 개선에 대해 언급하고 있습니다. 특히, 이제 모든 시크릿 탐지기가 문자열 비교를 통해 미리 실행되며, GitLeaks에서 영감을 얻은 전반적인 개선 사항이 추가되어 깃 스캔이 더욱 빨라졌습니다.

프로젝트의 리포지토리는 https://github.com/trufflesecurity/trufflehog 에서 찾을 수 있습니다.


내용

댓글 남기기

이메일 주소는 게시되지 않습니다. 필수 필드가 표시됩니다 *