7월 7일에 ncurses에 관한
다중 보안 취약점 CVE-2017-11112, CVE-2017-11113가 공개되었습니다. ncurses 6.0에는
tinfo/parse_entry.c의 append_acs() 함수에 0xffffffffffffffff로의 액세스가 있어 이를 통해
terminfo 라이브러리 코드가 신뢰할 수 없는 terminfo 데이터를 처리할 때 원격 서비스거부(DoS) 공격을 일으킬
가능성이 있습니다.
<Debian>
데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다.
데비안 9 Stretch (Stable)
: 현재 최신버전인 ncurses 6.0+20161126-1 에는 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable)
데비안 8 Jessie (OldStable) / 리눅스민트데비안에디션(LMDE) 2
: 현재 최신버전인 ncurses 5.9+20140913-1 에는 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable)
데비안 7 Wheezy
: 현재 최신버전인 ncurses 5.9-10 에는 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable)
*위 정보는 우분투 12.04 ESM(Extended Security Maintenance)을 포함하지 않습니다.
*위 정보는 작성자가 주로 사용하는 리눅스 배포판에 대해서만 작성하였습니다. 그 외의 배포판은 알아서 하셔야 합니다.
<참고>
https://oss.sios.com/security/ncurses-security-vulnerability-20170709
https://security-tracker.debian.org/tracker/CVE-2017-11112
https://security-tracker.debian.org/tracker/CVE-2017-11113
--
출처: http://la-nube.tistory.com/184 [la Nube의 소소한 취미생활]