[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¿ÀǼҽº ÄÜÅÙÃ÷ °ü¸® ½Ã½ºÅÛÀÎ PHPÇ»Àü(PHPFusion)¿¡¼ ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡ÀÌ ¹ß°ßµÆ´Ù. ·ÎÄà ÆÄÀÏ ÀÎŬ·çÀü(Local File Inclusion, LFI)À̶ó°í ºÒ¸®´Â À¯ÇüÀÇ Ãë¾àÁ¡À¸·Î CVE-2023-2453À̶ó´Â °ü¸® ¹øÈ£°¡ ºÎ¿©µÆ´Ù. ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÑ °ø°ÝÀÚ´Â ¾Ç¼º .php ÆÄÀÏÀ» ÇÇÇØÀÚ ÄÄÇ»ÅÍÀÇ Æ¯Á¤ °æ·Î¿¡ ¾÷·Îµå ÇÔÀ¸·Î½á ¿ø°Ý ÄÚµå ½ÇÇà °ø°ÝÀ» ¼º°ø½Ãų ¼ö ÀÖ°Ô µÈ´Ù.
[À̹ÌÁö = gettyimagesbank]
ÀÌ Ãë¾àÁ¡À» ¹ß°ßÇÑ °Ç º¸¾È ¾÷ü ½Ã³ñ½Ã½º(Synopsys)´Ù. ÀÌ°Í°ú ÇÔ²² Áß°£ À§Çèµµ Ãë¾àÁ¡ÀÎ CVE-2023-4480µµ ã¾Æ³Â´Ù. ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ´Â µ¥ ¼º°øÇÒ °æ¿ì °ø°ÝÀÚµéÀº ÇÇÇØÀÚ ½Ã½ºÅÛÀÇ ÆÄÀÏ ³»¿ëÀ» ¿¶÷ÇÒ ¼öµµ ÀÖ°Ô µÇ°í, ÀÓÀÇ Àå¼Ò¿¡ ÆÄÀÏÀ» ¸¸µé ¼öµµ ÀÖ°Ô µÈ´Ù. ÀÌ µÎ °¡Áö Ãë¾àÁ¡Àº PHPÇ»Àü 9.10.30 ¹× ÀÌÀü ¹öÀüµé¿¡ Á¸ÀçÇÑ´Ù. ¾ÆÁ÷±îÁö ÆÐÄ¡´Â ³ª¿ÀÁö ¾Ê¾Ò´Ù.
ÆÐÄ¡´Â ¾ÆÁ÷ ºÒ°¡´É
ÀÌ µÎ °¡Áö Ãë¾àÁ¡À» ã¾Æ³»°í °ø°³ÇÑ ½Ã³ñ½Ã½º´Â ¡°°ø°³ Àü PHPÇ»Àü °ü¸®ÀÚ Ãø¿¡ ¿¬¶ôÀ» ¿©·¯ ¹ø ÃëÇß´Ù¡±°í ÇÑ´Ù. ¡°À̸ÞÀϵµ º¸³»°í, Ãë¾àÁ¡ Á¦º¸ ä³ÎÀ» ÅëÇØ ¿¬¶ôµµ ÇÏ°í, ±êÇãºê¿¡¼µµ ¸Þ½ÃÁö¸¦ º¸³Â½À´Ï´Ù. ÀÎÅÍ³Ý »ç¿ëÀÚµéÀÌ ¸¹Àº Ä¿¹Â´ÏƼ¿¡¼µµ ¿¬¶ôÀ» ½ÃµµÇß½À´Ï´Ù. ÇÏÁö¸¸ ¾ÆÁ÷±îÁö ÇÑ ¹øµµ ¿¬¶ôÀÌ ´êÀº ÀûÀÌ ¾ø½À´Ï´Ù.¡±
PHPÇ»ÀüÀº ¿ÀǼҽº ÄÜÅÙÃ÷ °ü¸® ½Ã½ºÅÛÀ¸·Î, 2003³â óÀ½ µîÀåÇØ ÇöÀç±îÁö »ç¿ëµÇ°í ÀÖ´Ù. ¿öµåÇÁ·¹½º³ª µå·çÆÈ, Áܶó¿Í °°Àº À¯¸í¼¼¸¦ ŸÁö´Â ¸øÇß°í, µû¶ó¼ ¾Æ´Â »ç¶÷µµ »ó´ëÀûÀ¸·Î Àû´Ù. ±×·³¿¡µµ ÇöÀç PHPÇ»ÀüÀ» È°¿ëÇÏ°í ÀÖ´Â À¥»çÀÌÆ®´Â 1500¸¸ °³¿¡ ´ÞÇÑ´Ù. ƯÈ÷ Áß¼Ò±â¾÷µéÀÌ ¿Â¶óÀÎ Æ÷·³À» ±¸ÃàÇÒ ¶§ PHPÇ»ÀüÀ» ÀÚÁÖ È°¿ëÇÑ´Ù.
½Ã³ñ½Ã½º¿¡ ÀÇÇϸé CVE-2023-2453Àº ¡°¾î¶² Á¶°ÇÀÌ ¼º¸³µÇ¸é ÆÄÀÏ Á¡°ËÀ» Á¦´ë·Î ÇÏÁö ¾Ê¾Æ¼ ¹ßµ¿µÇ´Â Ãë¾àÁ¡¡±À̶ó°í ÇÑ´Ù. À̸¦ ÀÌ¿ëÇÒ °æ¿ì °ø°ÝÀÚµéÀº ÀÓÀÇÀÇ .php ÆÄÀÏÀ» ¾÷·Îµå ÇÑ ÈÄ ½ÇÇà½Ãų ¼ö ÀÖ°Ô µÈ´Ù´Â °Ô ½Ã³ñ½Ã½ºÀÇ ¼³¸íÀÌ´Ù.
ÀͽºÇ÷ÎÀÕ ¼º¸³ Á¶°Ç
¡°ÀÌ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÒ ¶§ ÇÊ¿äÇÑ Á¶°ÇÀº µÎ °¡ÁöÀÔ´Ï´Ù.¡± ½Ã³ñ½Ã½ºÀÇ ¼ÒÇÁÆ®¿þ¾î ¿£Áö´Ï¾îÀÎ ¸ÅÆ© È£±×(Matthew Hogg)ÀÇ ¼³¸íÀÌ´Ù. ¡°Á¦ÀÏ ¸ÕÀú °ø°ÝÀÚ´Â ±ÇÇÑÀÌ °ÅÀÇ ¾ø´Â °èÁ¤À̶ó ÇÏ´õ¶óµµ ÀÎÁõ °úÁ¤À» ÇÑ ¹øÀº Åë°úÇØ¾ß ÇÕ´Ï´Ù. ±× ´ÙÀ½À¸·Î °ø°ÝÀÚ´Â Ãë¾àÇÑ ¿£µåÆ÷ÀÎÆ®°¡ ¾îµð¿¡ ÀÖ´ÂÁö ¾Ë°í ÀÖ¾î¾ß ÇÕ´Ï´Ù. µÎ °¡Áö¸¦ ´Ù ¼º°øÇϸé Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕÀ» ÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±
½Ã³ñ½Ã½ºÀÇ Ãë¾àÁ¡ °ü¸® ¿£Áö´Ï¾îÀÎ º¥ ·Î³¯·Î(Ben Ronallo)´Â ¡°½ÇÁ¦ Ãë¾àÁ¡ ÀͽºÇ÷ÎÀÕ ÇàÀ§´Â ¾ÇÀÇÀûÀ¸·Î Á¦ÀÛµÈ .php ÆäÀ̷ε带 ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ ¾îµò°¡¿¡ ¾÷·Îµå½ÃÅ°´Â °Í¡±À̶ó¸ç, ¡°¾Õ¼ ¼³¸íµÈ µÎ °¡Áö Á¶°ÇÀ» ¼º¸³½ÃÅ°´Â °Í ÀÚü°¡ ÀͽºÇ÷ÎÀÕ ÇàÀ§´Â ¾Æ´Ï¡±¶ó°í °Á¶ÇÑ´Ù. ¡°Áï, µÎ °¡Áö Á¶°ÇÀ» ¸¸Á·½ÃÅ°´Â °Ç ±âº» Áغñ¸¦ ¿Ï·áÇÏ´Â °ÍÀÌ°í, ±× ´ÙÀ½À¸·Îµµ °ø°ÝÀÚ´Â ÆäÀ̷ε带 ¸¸µé°í, ¸¸µç ÆäÀ̷ε带 ¾÷·Îµå½ÃÅ°´Â ¹æ¹ýÀ» ã¾Æ³»¾ß ÇÑ´Ù´Â °Ì´Ï´Ù.¡±
¿©±â±îÁö ¼º°øÇß´Ù¸é °ø°ÝÀÚ´Â ¿©·¯ °¡Áö ¾Ç¼º ÇàÀ§¸¦ ½Ç½ÃÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ´Ù¸¸ ÀͽºÇ÷ÎÀÕÀ» ÅëÇØ Ä§ÅõÇÑ ½Ã½ºÅÛÀÇ ÁÖÀÎÀÌ(Áï ÇÇÇØÀÚ°¡) ¾î¶² ±ÇÇÑÀ» °¡Áö°í ÀÖ´À³Ä¿¡ µû¶ó ´Þ¶óÁø´Ù. ¡°°ü¸®ÀÚ ±ÇÇÑÀ» °¡Áø ½Ã½ºÅÛÀ» ÀͽºÇ÷ÎÀÕ Çß´Ù¸é ÀÓÀÇÀÇ ÆÄÀÏÀ» ¿¶÷ÇÏ°í, ¿ø°Ý ÄÚµå ½ÇÇà °ø°Ý±îÁö À̾ ¼ö ÀÖ½À´Ï´Ù. ±×·¸´Ù´Â °Ç ¹Î°¨ÇÑ Á¤º¸°¡ À¯ÃâµÉ ¼öµµ ÀÖ°í, ¼¹ö¸¦ °ø°ÝÀÚ°¡ Á¦¾îÇÒ ¼öµµ ÀÖ°Ô µÈ´Ù´Â ¼Ò¸®ÀÔ´Ï´Ù.¡±
ÇÑÆí CVE-2023-4480Àº PHPÇ»ÀüÀÇ ÆÄÀÏ °ü¸®ÀÚ ±â´ÉÀ» ±¸¼ºÇÏ´Â µðÆæ´ø½Ãµé Áß Çϳª°¡ Áö¿ø ¸¸·áµÇ¸é¼ »ý°Ü³ ¹®Á¦´Ù. °ü¸®ÀÚ ±ÇÇÑÀ» ¾ò¾î³»´Â µ¥ ¼º°øÇÑ °ø°ÝÀÚ¶ó¸é ÆÄÀÏÀÇ ÄÜÅÙÃ÷¸¦ ³ëÃâ½ÃÅ°°Å³ª ƯÁ¤ ÆÄÀÏÀ» ¼¹öÀÇ ÆÄÀÏ ½Ã½ºÅÛ¿¡ ÀÛ¼ºÇÒ ¼ö ÀÖ°Ô µÈ´Ù°í ÇÑ´Ù.
3ÁÙ ¿ä¾à
1. PHPÇ»Àü¿¡¼ µÎ °¡Áö Ãë¾àÁ¡ ¹ß°ßµÊ.
2. Çϳª´Â ÃÊ°íÀ§Çèµµ, Çϳª´Â Áß°£ À§Çèµµ.
3. ÃÊ°íÀ§Çèµµ Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ Çϸé ÇÇÇØÀÚÀÇ ±ÇÇÑ¿¡ µû¶ó ¼¹ö Àå¾Ç±îÁö °¡´É.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>