Google, 적시에 수정 사항을 제공하지 못한 후 CentOS Linux 커널 취약점 공개

Google Project Zero는 Google 자체 제품과 다른 공급업체에서 개발한 소프트웨어의 보안 결함을 발견하는 보안 팀입니다. 발견 후 문제는 공급업체에 비공개로 보고되며 공개되기 전에 보고된 문제를 수정할 수 있는 90일이 주어집니다. 경우에 따라 관련된 솔루션의 복잡성에 따라 14일의 유예 기간도 제공됩니다.

과거에 Google , Microsoft , Qualcomm , Apple 등에서 개발한 소프트웨어의 취약점을 보고한 Google Project Zero의 조사 결과를 광범위하게 다루었습니다. 이제 보안 팀은 CentOS 커널의 몇 가지 결함을 보고했습니다.

여기 기술 문서 에 자세히 설명된 대로 Google Project Zero의 보안 연구원인 Jann Horn은 안정적인 트리에 대한 커널 수정이 많은 엔터프라이즈 버전의 Linux에 백포트되지 않는다는 사실을 알게 되었습니다. 이 가설을 검증하기 위해 Horn은 CentOS Stream 9 커널을 안정적인 linux-5.15.y 안정적인 트리와 비교했습니다. 모르는 사람들을 위해 CentOS는 RHEL(Red Hat Enterprise Linux)에 가장 가까운 Linux 배포판이며 버전 9는 linux-5.14 릴리스를 기반으로 합니다.

예상대로 여러 커널 수정 사항이 이전 버전에 배포되지 않았지만 지원되는 CentOS Stream/RHEL 버전인 것으로 나타났습니다. Horn은 또한 이 경우 Project Zero가 수정 사항을 릴리스하기 위해 90일 기한을 제공하고 있지만 향후 누락된 백포트에 대해 더 엄격한 기한을 할당할 수 있다고 언급했습니다.

보안 수정 사항이 백포트되지 않는 경우에 대해 현재 정책에 더 엄격한 항목이 없기 때문에 이번에는 일반적인 90일 기한에 따라 이 버그를 보고합니다. 향후 이러한 유형의 문제에 대한 처리 방법을 변경할 수 있습니다.

업스트림 Linux 및 배포판이 보안 수정 사항을 동기화 상태로 유지하기 위한 일종의 솔루션을 알아내어 CentOS/RHEL에서 멋진 메모리 손상 버그를 빠르게 찾고자 하는 공격자가 그러한 버그를 찾을 수 없게 된다면 좋을 것입니다. 업스트림 안정과 커널 사이 델타의 버그. (아마 여기에 많은 역사가 있다는 것을 알고 있습니다.)

Red Hat은 Horn이 보고한 세 가지 버그를 모두 수락하고 CVE 번호를 할당했습니다. 그러나 회사는 할당된 90일 일정 내에 이러한 문제를 해결하지 못했고, 따라서 이러한 취약점은 Google Project Zero에 의해 공개되고 있습니다. 아래에서 몇 가지 높은 수준의 세부 정보를 찾을 수 있습니다.

• CVE-2023-0590: 경합 조건, 중간 심각도, 로컬 공격 벡터로 인한 Linux 커널의 use-after-free 결점
• CVE-2023-1252: Linux 커널의 Ext4 파일 시스템에 있는 Use-after-free 취약점으로 공격자가 시스템을 충돌시키거나 권한을 에스컬레이션할 수 있습니다. 심각도 보통, 로컬 공격 벡터
• CVE-2023-1249: 악용하기 어렵지만 공격자가 시스템을 충돌시킬 수 있는 Linux 커널의 코어 덤프 하위 시스템의 Use-After-Free 결함, 낮은 심각도, 로컬 공격 벡터

이제 특정 Linux 커널의 이러한 보안 결함에 대한 세부 정보가 공개되었으므로 Red Hat이 가능한 한 빨리 수정하도록 압력을 받을지 여부는 여전히 남아 있습니다.