리눅스에서 libgcrypt 보안 취약점이 발견되었으며, 몇몇 배포판에서 보안 패치가 아직 나오지 않아 제로데이 상태에 있습니다.
이 보안 취약점은 CVE-2017-9526으로 명명되었으며, 공격자가 EdDSA 세션 키를, 서명 프로세스 중 사이드 채널에서 관찰하여 습득할 수 있고 이를 통해 장기 비밀건을 간단하게 리커버할 수 있는 문제가 있습니다.
<Debian>
데비안의 경우에는 데비안 8, 데비안 7 등 현재 정식 지원 중인 모든 버전에서 위 보안 취약점에 대한 보안 패치가 완료되어 공개되었습니다. 데비안 8과 7에서 보안 패치가 완료된 버전은 다음과 같습니다.
데비안 8 Jessie (Stable)
libgcrypt11 1.5.0-5+deb7u5
데비안 7 Wheezy (OldStable)
libgcrypt20 1.6.3-2+deb8u3
<Ubuntu>
우분투의 경우에는 우분투 17.04, 16.10, 16.04 LTS, 14.04 LTS 등 정식 지원 중인 모든 버전에서 보안 취약점이 존재하나, 아직 보안 패치가 이루어지지 않았습니다.
libgcrypt20 : needed (보안 취약점이 존재하나, 보안 패치가 아직 나오지 않음)
*우분투에 기반한 리눅스 배포판(예를 들어, 리눅스민트, 하모니카 등)도 위와 동일합니다.
<RHEL/CentOS>
RHEL 및 센토스의 경우에는 위 보안 취약점이 존재하지 않습니다.
*위 정보는 우분투 12.04의 Extended Security Maintenance나, RHEL 5의 Extended Lifecycle Support를 포함하지 않습니다.
*위 정보는 작성자가 주로 사용하는 리눅스 배포판에 대해서만 작성하였습니다. 그 외의 배포판은 알아서 하셔야 합니다.
<참고>
https://oss.sios.com/security/libgcrypt-security-vulnerability-20170612
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-9526.html
https://security-tracker.debian.org/tracker/CVE-2017-9526
https://access.redhat.com/security/cve/cve-2017-9526
https://launchpad.net/ubuntu/+source/libgcrypt20
--
작성자: la Nube
최초 작성일시: 2017. 06. 15. 09:36
우분투 보안 패치가 신속하게 이뤄져야할 것으로 보이는군요.
관련 소식이 나오면 알려드리겠습니다.