la Nube | 라 누베

7월 7일에 ncurses에 관한 다중 보안 취약점 CVE-2017-11112, CVE-2017-11113가 공개되었습니다. ncurses 6.0에는 tinfo/parse_entry.c의 append_acs() 함수에 0xffffffffffffffff로의 액세스가 있어 이를 통해 terminfo 라이브러리 코드가 신뢰할 수 없는 terminfo 데이터를 처리할 때 원격 서비스거부(DoS) 공격을 일으킬 가능성이 있습니다. 데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다. 데비안 9 Stretch (Stable) : 현재 최신버전인 ncurses 6.0+20161126-1 에는 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable) 데비안 8 Jessie (OldSta..

7월 7일에 systemd에 관한 보안 취약점 CVE-2017-1000082가 공개되었습니다. v233 이전의 systemd에는 숫자로 시작하는 사용자 이름(예를 들어 0day)의 경우 권한을 안전하게 처리하는 기능에 문제가 있어, 0day로 시작해야 하는 서비스가 루트 권한으로 작동하게 됩니다. 데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다. 데비안 9 Stretch (Stable) : 현재 최신버전인 systemd 232-25 에는 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable) 데비안 8 Jessie (OldStable) / 리눅스민트데비안에디션(LMDE) 2 : systemd 215-17+deb8u7 에서 보안 패치 완료 (fixed) 데비안 7 Wh..

LGPL Crypto 라이브러리인 Libgcyrpt 패키지에서 보안 취약점이 발견되었습니다. Libgcrypt에서 사이트 채널을 통한 공격이 가능하여 로컬 공격자가 이 공격을 이용하여 RSA 개인 키를 복구할 수 있는 보안 취약점 CVE-2017-7526이 발견되었습니다. 아울러 로컬 공격자가 위 공격을 이용하여 EdDSA 개인 키를 복구할 수 있는 보안 취약점 CVE-2017-9526도 함께 발견되었습니다. 참고로 CVE-2017-9526은 우분투 16.04 LTS 이상에서만 발견된 보안 취약점입니다. 데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다. 데비안 9 Stretch (Stable) libgcrypt20 1.7.6-2+deb9u1 에서 보안 패치 완료 (fixed) 데비안 8..

2017년 7월 2일에 리눅스 커널의 보안 취약점에 대한 정보가 공개되었습니다. knfsd에 대한 DoS 및 시스템에 soft-lockup 가능성에 대한 보안 취약점으로, CVE-2017-8797로 명명되었습니다. 이 보안 취약점은 리눅스 커널 4.11.3까지 NFSv4의 원격 공격자로부터 UDP 패킷 중 GETDEVICEINFO와 LAYOUTGET 검증에 문제가 있으며, 이것 외에도 OOPS를 발생시켜 knfsd의 DoS를 일으키거나 시스템에 soft-lockup을 일으킬 가능성이 있습니다. 데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다. 데비안 9 Stretch (Stable) 현재 최신 커널인 4.9.30-2+deb9u2 에서 보안 패치 완료 (fixed) 데비안 8 Jessie..

"Phoenix Talon" in Linux Kernel 취약점 이스트시큐리티 알약 블로그 http://blog.alyac.co.kr/1189 -- 다중 보안 취약점 : CVE-2017-8890, CVE-2017-9075, CVE-2017-9076, CVE-2017-9077 데비안에서는 위 다중 보안 취약점과 관련하여 다음과 같이 발표하였습니다. 데비안 9 Stretch (Stable) 현재 최신 커널인 4.9.30-2+deb9u2 에서 보안 패치 완료 (fixed) 데비안 8 Jessie (OldStable), 리눅스민트데비안에디션(LMDE) 2 현재 최신 커널인 3.16.43-2+deb8u2 에서 보안 패치 완료 (fixed) 데비안 7 Wheezy 현재 최신 커널인 3.2.89-2 에서 보안 패치 ..

6월 27일에 systemd-resolved의 보안 취약점에 대한 정보가 공개되었습니다.(CVE-2017-9445) 버전 233까지의 systemd에서 systemd-resolved의 dns_packet_new에 전달되는 특정 크기보다 비정상적으로 작은 버프를 할당할 수 있고, 악성 DNS 서버는 이것을 이용하여, 특별히 만들어진 TCP 페이로드의 응답으로 systemd-resolved를 속여 비정상적으로 작은 버프를 할당한 뒤에 할당된 크기 이상의 임의의 데이터를 기록할 수 있습니다. 데비안에서는 위 보안 취약점에 대하여 다음과 같은 보안 패치를 발표하였습니다. 다만, 데비안 9에서는 아직 보안 패치가 나오지 않았습니다. (vulnerable) 데비안 9 Stretch (Stable) 현재 최신버전인 ..

데비안 9 Strech가 모든 라이브 이미지 파일을 재출시하였습니다. 재출시된 데비안 9의 버전은 9.0.1이며, 다중의 버그 때문인 것으로 알려졌습니다. 일단 가장 긴급한 버그를 수정하여 9.0.1로 공개하였습니다만, 아직 KDE 라이브 ISO 등에서 특정 하드웨어에서 불안정한 상태를 보이고 있으며, UTF-8 콘솔이 올바르게 설정되지 않는 문제가 발생하고 있습니다. 이 2가지 문제는 7월로 예정된 다음 업데이트에서 수정되어야 할 것입니다. 이미 설치한 분들은 일단 데비안 9.0.1로 다시 다운로드하여 설치할 것을 권장한다고 합니다.ㅜㅜ http://news.softpedia.com/news/debian-re-releases-all-live-images-of-debian-gnu-linux-9-stret..

2006년에 생산되어 2007년에 구입한 노트북에 LMDE 2를 깔다가 삽질(?)한 경험을 토대로 작성해봅니다. 해당 노트북은 인텔 Core 2 Duo T5500 1.66Ghz CPU를 사용합니다. 2코어 2쓰레드입니다. -- LMDE 2와 데비안 8 32비트에서 멀티코어/멀티쓰레드를 인식하지 못하는 경우가 있습니다. 그 이유는 32비트 설치시에 커널이 686-PAE 커널이 아닌 다음과 같은 586 커널이 설치되었기 때문입니다. linux-image-586, linux-image-3.16.0-4-586, linux-headers-586, linux-headers-3.16.0-4-586 흔히 32비트라고 부르는 i386(i686)은 586과 686-PAE로 구분된다고 보면 됩니다. 586 커널은 멀티코어/..