우분투는 최근 22.04 LTS와 20.04 LTS 릴리스 모두에서 파이썬 2.7에 영향을 미치는 여러 보안 취약점을 해결했습니다. 이러한 취약점이 악용될 경우 공격자는 임의의 코드를 실행하거나 시스템을 다운시키거나 민감한 데이터를 손상시킬 수 있습니다. Python 2.7은 여전히 많은 애플리케이션과 서비스의 핵심 부분이기 때문에 관리자는 이러한 위협에 대비해 시스템을 패치하는 것이 중요합니다.
Python 2.7 취약점 상세 정보
우분투가 최근 패치한 취약점을 자세히 살펴보겠습니다:
CVE-2022-48560
이 취약점은 파이썬이 특정 스크립트를 부적절하게 처리하기 때문에 발생합니다. 공격자는 이 결함을 악용하여 임의의 코드를 실행함으로써 데이터와 운영을 심각한 위험에 빠뜨릴 수 있습니다.
CVE-2022-48565
이 문제는 파이썬이 plist 파일에서 XML 엔티티 선언을 올바르게 처리하지 못하는 것과 관련이 있습니다. 이 결함을 통해 공격자는 XML 외부 엔티티(XXE) 인젝션을 수행할 수 있으며, 잠재적으로 서비스 거부(DoS) 또는 민감한 데이터 노출로 이어질 수 있습니다.
CVE-2022-48566
여기서 파이썬의 암호화 연산 처리에는 상수 시간 처리가 없습니다. 이로 인해 공격자는 타이밍 공격을 악용하여 비밀번호나 키와 같은 민감한 정보를 암호화 연산에서 추출할 수 있습니다.
CVE-2023-24329
이 취약점은 파이썬이 특정 입력을 부적절하게 처리하는 데서 비롯됩니다. 악의적인 입력을 처리하도록 속인 경우 원격 공격자는 이 결함을 악용하여 서비스 거부(DoS)를 유발할 수 있습니다.
CVE-2023-40217
이 문제는 파이썬의 SSL/TLS 소켓 처리와 관련이 있습니다. 특히, 공격자가 TLS 핸드셰이크를 우회하여 인증되지 않은 데이터를 인증된 것으로 처리할 수 있게 해줍니다. 이로 인해 핸드셰이크 중에 시스템이 악성 데이터를 허용할 수 있습니다.
EOL 우분투 시스템에서 Python 2.7 취약점 패치하기
위의 취약점은 우분투 22.04 LTS 및 우분투 20.04 LTS에서 수정되었습니다. 이러한 시스템을 보호하려면 최신 보안 업데이트를 적용하는 것이 필수적입니다. 그러나 16.04 또는 18.04와 같이 이미 지원 종료(EOL)에 도달한 우분투 버전을 여전히 사용하는 사용자 및 조직의 경우, 우분투 프로 구독에 등록하지 않는 한 공식 보안 업데이트를 더 이상 사용할 수 없습니다.
또는 공급업체가 지원하는 수명 주기 이후에도 지속적인 취약성 패치를 제공하여 수명이 다한 Ubuntu 시스템을 보호하는 보다 비용 효율적인 솔루션인 TuxCare의 무한 수명 주기 지원을 활용할 수 있습니다.
비용이 많이 드는 Ubuntu Pro와 달리 TuxCare는 공급업체 수준의 보안 업데이트를 통해 경제적인 확장 보안 유지 관리를 제공하므로 즉각적인 업그레이드에 대한 부담 없이 인프라를 보호하고 원하는 속도에 맞춰 마이그레이션할 수 있습니다.
결론
수명이 다한 후에도 시스템의 보안을 유지하는 것은 중요한 인프라를 보호하는 데 필수적입니다. TuxCare의 무한 수명 주기 지원을 이용하면 비용이 많이 드는 업그레이드를 서두르지 않고도 Ubuntu 16.04 및 Ubuntu 18.04에 대한 필수 보안 패치를 계속 받을 수 있습니다.
ELS 팀은 이미 이러한 Python 2.7 취약점에 대한 패치를 배포했으며, 자세한 내용은 CVE 추적기 페이지에서 확인할 수 있습니다. TuxCare의 ELS는 Python 외에도 Linux 커널, OpenSSL, glibc, OpenSSH, OpenJDK, PHP 및 Apache와 같은 필수 구성 요소를 포함하여 Ubuntu 16.04 및 18.04용 140개 이상의 패키지를 지원합니다. 여기에서 지원되는 모든 패키지를 확인하세요.
출처 : https://tuxcare.com/ko/blog/ubuntu-fixes-multiple-python-2-7-vulnerabilities-in-22-04-and-20-04/
문제가 될 시 삭제하겠습니다.
