la Nube | 라 누베

LGPL Crypto 라이브러리인 Libgcyrpt 패키지에서 보안 취약점이 발견되었습니다. Libgcrypt에서 사이트 채널을 통한 공격이 가능하여 로컬 공격자가 이 공격을 이용하여 RSA 개인 키를 복구할 수 있는 보안 취약점 CVE-2017-7526이 발견되었습니다. 아울러 로컬 공격자가 위 공격을 이용하여 EdDSA 개인 키를 복구할 수 있는 보안 취약점 CVE-2017-9526도 함께 발견되었습니다. 참고로 CVE-2017-9526은 우분투 16.04 LTS 이상에서만 발견된 보안 취약점입니다. 데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다. 데비안 9 Stretch (Stable) libgcrypt20 1.7.6-2+deb9u1 에서 보안 패치 완료 (fixed) 데비안 8..

6월 27일에 systemd-resolved의 보안 취약점에 대한 정보가 공개되었습니다.(CVE-2017-9445) 버전 233까지의 systemd에서 systemd-resolved의 dns_packet_new에 전달되는 특정 크기보다 비정상적으로 작은 버프를 할당할 수 있고, 악성 DNS 서버는 이것을 이용하여, 특별히 만들어진 TCP 페이로드의 응답으로 systemd-resolved를 속여 비정상적으로 작은 버프를 할당한 뒤에 할당된 크기 이상의 임의의 데이터를 기록할 수 있습니다. 데비안에서는 위 보안 취약점에 대하여 다음과 같은 보안 패치를 발표하였습니다. 다만, 데비안 9에서는 아직 보안 패치가 나오지 않았습니다. (vulnerable) 데비안 9 Stretch (Stable) 현재 최신버전인 ..