2016.06.23

"인기 압축파일 라이브러리에서 취약점 발견··· 수많은 SW 유관"

Lucian Constantin | IDG News Service
기존 써드파티 코드를 일부 이용하는 소프트웨어 개발 프로젝트를 진행할 때, 오픈소스 라이브러리 내 취약점을 발견하고 패치하는 작업은 필수적이다.

시스코 시스템의 탈로스 그룹 연구진이 최근 보고한 라이버카이브(libarchive) 내 3개의 주요 결함은 이런 측면에서 특히 눈길을 끈다. 이들이 보고한 결함은 수많은 소프트웨어 제품의 안정성과 직결되기 때문이다.

라이버카이브(libarchive)는 프리BSD를 위해 처음 개발된 오픈소스 라이브러리다. 이후 각종 주요 운영체체용으로 포팅됐다. 이 라이브러리가 제공하는 기능은 tar, pax, cpio, ISO9660, zip, lha/lzh, rar, cab,77-Zip 등 다양한 알고리즘으로 압축된 파일에 실시간으로 접근할 수 있도록 하는 것이다.

오늘날 수많은 리눅스 및 BSD 시스템 내에 포함된 파일 및 패키지 매니저들이 이 라이브러리를 이용하고 있으며, OS X과 크롬 OS 내 각종 도구 및 콤포넌트들도 이를 내장하고 있다. 아울러 이 라이브러리는 애플리케이션 개발 시점에 코드로 삽입될 수 있다. 얼마나 많은 애플리케이션이나 펌웨어에 이 라이브러리가 내장됐는지 추적하기도 힘든 상황인 셈이다.

시스코 탈로스 연구진은 7-ZIP과 mtree, rar 파일을 처리하는 라이버카이브 코드에서 인티저 오버플로우(integer overflow), 버퍼 오버플로우(buffer overflow), 힙 오버플로어(heap overflow) 결함을 최근 발견했다. 원격지에서 임의의 코드를 실행할 수 있도록 허용할 수 있는 메모리 오염 오류에 해당하는 것이다.

탈로스 연구진은 21일 블로그 포스트를 통해 "라이버카이브와 같은 소프트웨어 조각에서 결함이 발견되면, 이를 이용하는 수많은 써드파티 프로그램에 영향을 미친다. 공격자들이 이를 악용할 수 있기에 관련 프로그램을 모두 파악해 가급적 빨리 패치할 필요가 있다"라고 밝혔다.

그러나 소프트웨어 개발자들은 대개 과거 이용했던 써드파티 코드를 일일이 추적하지 않는 경우가 많기 때문에 이를 부분적으로 도입한 애플리케이션들이 안전해지기까지는 아주 오랜 시간이 걸릴 가능성이 큰 상태다. ciokr@idg.co.kr
 



2016.06.23

"인기 압축파일 라이브러리에서 취약점 발견··· 수많은 SW 유관"

Lucian Constantin | IDG News Service
기존 써드파티 코드를 일부 이용하는 소프트웨어 개발 프로젝트를 진행할 때, 오픈소스 라이브러리 내 취약점을 발견하고 패치하는 작업은 필수적이다.

시스코 시스템의 탈로스 그룹 연구진이 최근 보고한 라이버카이브(libarchive) 내 3개의 주요 결함은 이런 측면에서 특히 눈길을 끈다. 이들이 보고한 결함은 수많은 소프트웨어 제품의 안정성과 직결되기 때문이다.

라이버카이브(libarchive)는 프리BSD를 위해 처음 개발된 오픈소스 라이브러리다. 이후 각종 주요 운영체체용으로 포팅됐다. 이 라이브러리가 제공하는 기능은 tar, pax, cpio, ISO9660, zip, lha/lzh, rar, cab,77-Zip 등 다양한 알고리즘으로 압축된 파일에 실시간으로 접근할 수 있도록 하는 것이다.

오늘날 수많은 리눅스 및 BSD 시스템 내에 포함된 파일 및 패키지 매니저들이 이 라이브러리를 이용하고 있으며, OS X과 크롬 OS 내 각종 도구 및 콤포넌트들도 이를 내장하고 있다. 아울러 이 라이브러리는 애플리케이션 개발 시점에 코드로 삽입될 수 있다. 얼마나 많은 애플리케이션이나 펌웨어에 이 라이브러리가 내장됐는지 추적하기도 힘든 상황인 셈이다.

시스코 탈로스 연구진은 7-ZIP과 mtree, rar 파일을 처리하는 라이버카이브 코드에서 인티저 오버플로우(integer overflow), 버퍼 오버플로우(buffer overflow), 힙 오버플로어(heap overflow) 결함을 최근 발견했다. 원격지에서 임의의 코드를 실행할 수 있도록 허용할 수 있는 메모리 오염 오류에 해당하는 것이다.

탈로스 연구진은 21일 블로그 포스트를 통해 "라이버카이브와 같은 소프트웨어 조각에서 결함이 발견되면, 이를 이용하는 수많은 써드파티 프로그램에 영향을 미친다. 공격자들이 이를 악용할 수 있기에 관련 프로그램을 모두 파악해 가급적 빨리 패치할 필요가 있다"라고 밝혔다.

그러나 소프트웨어 개발자들은 대개 과거 이용했던 써드파티 코드를 일일이 추적하지 않는 경우가 많기 때문에 이를 부분적으로 도입한 애플리케이션들이 안전해지기까지는 아주 오랜 시간이 걸릴 가능성이 큰 상태다. ciokr@idg.co.kr
 

X