ÀÎÅÚ¿¡¼´Â ÀÌ¿Í °ü·ÃµÇ¾î ÀÖÁö¸¸ À§Çèµµ Á¶±Ý ³·Àº Ãë¾àÁ¡ 2°³ ÆÐÄ¡ ¹ßÇ¥Çϱ⵵
[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ±¸±Û°ú ÀÎÅÚÀÌ ¸®´ª½º ºí·çÅõ½º ÇÁ·ÎÅäÄÝÀÎ ºí·çÁö(BlueZ)¿¡¼ °íÀ§Ç豺¿¡ ¼ÓÇÏ´Â Ãë¾àÁ¡À» ¹ß°ßÇß´Ù. ºí·çÁö´Â ¸®´ª½º ±â¹Ý »ç¹°ÀÎÅÍ³Ý Àåºñµé¿¡ žÀçµÈ ºí·çÅõ½º ±â´ÉÀ» ±¸ÇöÇÏ´Â µ¥ ÀÖ¾î ÇÙ½ÉÀûÀÎ ¿ä¼Ò Áß Çϳª´Ù. ±¸±ÛÀº ¿©±â¿¡ ºí¸®µùÅõ½º(BleedingTooth)¶ó´Â À̸§À» ºÙ¿´´Ù.
[À̹ÌÁö = utoimage]
±¸±Û¿¡ ÀÇÇÏ¸é ¸®´ª½º Ä¿³Î 5.9 ÀÌÀü ¹öÀüÀÇ °æ¿ì ºí¸®µùÅõ½º Ãë¾àÁ¡¿¡ ³ëÃâµÇ¾î ÀÖ´Ù°í ÇÑ´Ù. ºí·çÁö´Â °ø½Ä ¸®´ª½º Ä¿³Î 2.4.6ºÎÅÍ µµÀԵǾú´Ù. ºí¸®µùÅõ½º Ãë¾àÁ¡ÀÇ °¡Àå Å« Ư¡Àº ¡®Á¦·Î Ŭ¸¯ °ø°Ý¡¯À» °¡´ÉÇÏ°Ô ÇÑ´Ù´Â °ÍÀÌ´Ù. Áï ÇÇÇØÀÚ°¡ ƯÁ¤ ¸µÅ©¸¦ ´©¸£°Å³ª ÆÄÀÏÀ» ¿Áö ¾Ê¾Æµµ °ø°ÝÀÌ ¼º¸³µÈ´Ù´Â ¶æÀÌ´Ù. ºí¸®µùÅõ½º Ãë¾àÁ¡À» °ø·«ÇÏ´Â µ¥ ¼º°øÇÒ °æ¿ì °ø°ÝÀÚÀÇ ±ÇÇÑÀÌ »ó½ÂµÈ´Ù.
±¸±ÛÀº ±êÇãºê °Ô½Ã±ÛÀ» ÅëÇØ ¡°ºí·çÅõ½º ÀüÆÄ°¡ ´êÀ» ¸¸ ÇÑ °Å¸®¿¡ ÀÖ´Â °ø°ÝÀÚ°¡ ÇÇÇØÀÚÀÇ ºí·çÅõ½º ÁÖ¼Ò¸¦ ¾Ë¾Æ³¾ °æ¿ì ¾Ç¼º l2cap ÆÐŶÀ» º¸³¿À¸·Î½á µðµµ½º °ø°ÝÀ» Çϰųª Ä¿³Î ±ÇÇÑÀ» °¡Áö°í ÀÓÀÇ ÄÚµå ½ÇÇà °ø°ÝÀ» ÇÒ ¼ö ÀÖ°Ô µÈ´Ù¡±°í ¼³¸íÇß´Ù. ¾Ç¼º ºí·çÅõ½º ĨÀ» ÅëÇؼµµ ºí¸®µùÅõ½º Ãë¾àÁ¡À» ¹ßµ¿½ÃÅ°´Â °Ô °¡´ÉÇÏ´Ù°íµµ ½è´Ù.
ºí¸®µùÅõ½º Ãë¾àÁ¡ÀÇ °ø½Ä °ü¸® ¹øÈ£´Â CVE-2020-12351ÀÌ´Ù. CVSS¸¦ ±âÁØÀ¸·Î 8.3Á¡À» ¹Þ¾Æ °íÀ§Ç豺À¸·Î ºÐ·ùµÈ´Ù. ÀÏÁ¾ÀÇ Å¸ÀÔ ÄÁÇ»Àü(type confusion) Ãë¾àÁ¡À̸ç, net/bluetooth/l2cap_core.c¿¡¼ ¹ß°ßµÈ´Ù°í ÇÑ´Ù. ŸÀÔ ÄÁÇ»ÀüÀ» ÀÏÀ¸Å°¸é ¿µ¿ª ¿Ü ¸Þ¸ð¸®¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°í, À̸¦ ÅëÇØ Äڵ带 ½ÇÇàÇϰųª ÀϺΠ¿ä¼Ò¸¦ ¸¶ºñ½Ãų ¼ö ÀÖ°Ô µÈ´Ù. ÀÌ·¸°Ô µÇ´Â °Ç, ºí·çÁö¸¦ Ä¿³Î ³»¿¡¼ ±¸ÇöÇßÀ» ¶§ »ç¿ëÀÚ°¡ Á¦°øÇÏ´Â ÀԷ°ªÀ» °ËÁõÇÏ´Â °úÁ¤ÀÌ ºÒÃæºÐÇϱ⠶§¹®ÀÌ´Ù.
±¸±ÛÀº ÀÌ Ãë¾àÁ¡¿¡ ´ëÇÑ °³³äÁõ¸í ÀͽºÇ÷ÎÀÕ ¿µ»óÀ» ÇÔ²² °ø°³Çß´Ù. ¿µ»óÀº ´ÙÀ½ ÁÖ¼Ò(https://www.youtube.com/watch?v=qPYrLRausSw&feature=emb_logo)¿¡¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù. ¾ÕÀ¸·Î ºí·çÁö Ãë¾àÁ¡¿¡ ´ëÇÑ Ãß°¡ Á¤º¸´Â ¿©±â(https://security.googleblog.com/)¼ °ø°³µÉ ¿¹Á¤ÀÌ´Ù. ±¸±ÛÀÌ ±êÇãºê¿¡ °ø°³ÇÑ ³»¿ëÀº ¿©±â(https://github.com/google/security-research/security/advisories/GHSA-h637-c88j-47wq)¼ ¿¶÷ÇÒ ¼ö ÀÖ´Ù.
ÀÎÅÚ Ãøµµ ¸®´ª½º Ä¿³Î »ç¿ëÀڵ鿡°Ô 5.10 ÀÌ»ó ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ® ÇÒ °ÍÀ» ±Ç°íÇÏ´Â ³»¿ëÀÇ ¹ßÇ¥¹®À» °ø°³Çß´Ù. ±×·¯¸é¼ ¡°±ÇÇÑ »ó½Â ¹× Á¤º¸ ³ëÃâÀ» ÀÏÀ¸Å³ ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ ºí·çÁö¿¡¼ ¹ß°ßµÇ¾ú´Ù¡±°í ¼³¸íÇß´Ù. µ¿½Ã¿¡ ºÒÃæºÐÇÑ Á¢±Ù Á¦¾î ¶§¹®¿¡ ¹ß»ýÇÏ´Â Áß°£±Þ À§Ç豺 ¿À·ù µÎ °³¿¡ ´ëÇÑ ÇȽº¸¦ ¹ßÇ¥Çß´Ù. µÎ °¡Áö ÀüºÎ ºí·çÁö¿¡ ¿µÇâÀ» Áشٰí ÇÑ´Ù.
ÀÌ µÎ °¡Áö Ãë¾àÁ¡Àº ´ÙÀ½°ú °°´Ù.
1) CVE-2020-12352 : ÀÎÁõ °úÁ¤À» Åë°úÇÏÁö ¾ÊÀº »ç¿ëÀÚ°¡ Àåºñ ±Ùó¿¡¼ Á¤º¸¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°Ô ÇØÁØ´Ù. »ç¿ëÀÚÀÇ ºí·çÅõ½º ÁÖ¼Ò¸¦ ¾Ë°í ÀÖÀ¸¸é Ä¿³Î ½ºÅà Á¤º¸¸¦ ÃëµæÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
2) CVE-2020-24490 : ÀÎÁõ °úÁ¤À» Åë°úÇÏÁö ¾ÊÀº »ç¿ëÀÚ°¡ Àåºñ ±Ùó¿¡¼ µðµµ½º °ø°ÝÀ» ÇÒ ¼ö ÀÖ°Ô ÇØÁØ´Ù. °æ¿ì¿¡ µû¶ó ÀÓÀÇ ÄÚµå ½ÇÇà °ø°Ýµµ °¡´ÉÇÏ°Ô µÈ´Ù.
ÀÎÅÚÀÌ °ø°³ÇÑ Ãë¾àÁ¡ ¼¼ºÎ ³»¿ë°ú ÇȽºµéÀº ¿©±â(https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00435.html)¼ ¿¶÷ ¹× ´Ù¿î·Îµå°¡ °¡´ÉÇÏ´Ù.
3ÁÙ ¿ä¾à
1. ¸®´ª½º ±â¹Ý ÀåºñµéÀÇ ºí·çÅõ½º ¿ä¼Ò¿¡¼ ½É°¢ÇÑ Ãë¾àÁ¡ ¹ß°ßµÊ.
2. ÀͽºÇ÷ÎÀÕ ÇÒ °æ¿ì ÇÇÇØÀÚÀÇ ÇൿÀÌ Çϳªµµ ¾ø¾îµµ °ø°ÝÀÌ °¡´ÉÇÏ°Ô µÊ.
3. ¸®´ª½º Ä¿³ÎÀ» 5.10 ÀÌ»ó ¹öÀüÀ¸·Î ¿Ã¸®´Â °ÍÀÌ Áö±Ý ÇÒ ¼ö ÀÖ´Â ´ëó.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>