7월 7일에 ncurses에 관한 다중 보안 취약점 CVE-2017-11112, CVE-2017-11113가 공개되었습니다. ncurses 6.0에는 tinfo/parse_entry.c의 append_acs() 함수에 0xffffffffffffffff로의 액세스가 있어 이를 통해 terminfo 라이브러리 코드가 신뢰할 수 없는 terminfo 데이터를 처리할 때 원격 서비스거부(DoS) 공격을 일으킬 가능성이 있습니다.
<Debian>
데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다.
데비안 9 Stretch (Stable)
: 현재 최신버전인 ncurses 6.0+20161126-1 에는 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable)
데비안 8 Jessie (OldStable) / 리눅스민트데비안에디션(LMDE) 2
: 현재 최신버전인 ncurses 5.9+20140913-1 에는 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable)
데비안 7 Wheezy
: 현재 최신버전인 ncurses 5.9-10 에는 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable)
*위 정보는 우분투 12.04 ESM(Extended Security Maintenance)을 포함하지 않습니다.
*위 정보는 작성자가 주로 사용하는 리눅스 배포판에 대해서만 작성하였습니다. 그 외의 배포판은 알아서 하셔야 합니다.
<참고>
https://oss.sios.com/security/ncurses-security-vulnerability-20170709
https://security-tracker.debian.org/tracker/CVE-2017-11112
https://security-tracker.debian.org/tracker/CVE-2017-11113
'IT & Security > 리눅스 :: 보안' 카테고리의 다른 글
| 리눅스 QEMU 보안 취약점 CVE-2017-9524 (0) | 2017.07.09 |
|---|---|
| 리눅스 Xen, Linux Kernel, QEMU 10개 다중 보안 취약점 (0) | 2017.07.09 |
| 리눅스 systemd 보안 취약점 CVE-2017-1000082 (0) | 2017.07.09 |
| 리눅스 Libgcyrpt 보안 취약점 CVE-2017-7526, CVE-2017-9526 (0) | 2017.07.04 |
| Linux Kernel 보안 취약점 CVE-2017-8797 - 보안 패치 아직 없음 (0) | 2017.07.04 |