모든 GNU/리눅스 운영체제에서 데이터 압축에 필요한 필수 유틸리티를 제공하는 인기 오픈소스인 ‘XZ Utils’ 라이브러리에서 백도어가 발견되었고 수많은 기업과 사용자들을 대상으로 한 소프트웨어 공급망 공격으로 볼 수 있어 파장이 커지고 있음.
- 주요 내용
- 레드햇은 29일(현지시간) ‘XZ Utils’라는 데이터 압축 라이브러리의 두 가지 버전에 무단 원격 액세스를 허용하도록 설계된 백도어가 심겨져 있었다며 ‘긴급 보안 경고’를 발표했음.
- 해당 취약점(CVE-2024-3094)은 소프트웨어 공급망 공격의 일종으로 CVSS 점수는 10.0으로 최대 심각도를 나타내며, 해당 취약점은 최근 출시된 XZ Utils 버전 5.6.0(2월 24일 출시) 및 5.6.1(3월 9일 출시)에 영향을 미치는 것으로 알려짐.
- 미국의 보안전담기관인 CISA는 사용자에게 XZ Utils를 손상되지 않은 버전(예: XZ Utils 5.4.6 Stable)으로 다운그레이드 할 것을 촉구하는 경고를 발령함.
- Opinion (견해)
- 주말 간 나온 긴급 취약점이 매우 높은 심각도를 가지며, 매우 많은 사용자가 있는 라이브러리이기 때문에, 수많은 기업과 사용자들은 업무 복귀 후 즉시 XZ Utils 버전확인과 영향도 확인이 필요할 것으로 생각됨.
🔗 관련 링크
[긴급] XZ Utils 라이브러리에서 백도어 악성코드 발견... 주요 리눅스 배포판에 영향
모든 GNU/리눅스 운영체제에서 데이터 압축에 필요한 필수 유틸리티를 제공하는 인기 오픈소스인 ‘XZ Utils’ 라이브러리에서 백도어가 발견돼 전 세계 소프트웨어 및 보안 업계에 비상이 걸렸다
www.boannews.com
xz-utils backdoor situation
xz-utils backdoor situation. GitHub Gist: instantly share code, notes, and snippets.
gist.github.com
'정보보안 최신동향' 카테고리의 다른 글
| (4/22~4/26) ISMS-P 인증심사원 자격검정 서류전형 접수. 응시자격, 제출서류, 전형일정 (0) | 2024.04.15 |
|---|---|
| (공유) SK 쉴더스 - 2024 클라우드 보안가이드 (AWS, AZURE, GCP) (0) | 2024.04.15 |
| 불법스팸 방지를 위한 정보통신망법 안내서 발간 (제6차 개정판, KISA) (0) | 2024.03.31 |
| ISMS/P 포함 기업의 인증획득 부담 완화를 위한 규제 정비 (0) | 2024.03.02 |
