공지사항

조회 수 2028 추천 수 0 댓글 6
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

※ 해당 게시물은 '하모니 게시판'에서 이동해 왔습니다.


992B223E5C59D9E107


(이미지 출처 : The Hacker News)



Severe RCE Flaw Disclosed in Popular LibreOffice and OpenOffice Software


리브레오피스와 아파치 오픈오피스에서 원격 코드 실행이 가능한 취약점이 공개되었습니다. 이 취약점은 악의적으로 제작된 ODT 파일을 열기만 해도 작동될 수 있어서 매우 위협적입니다. CVE-2018-16858로 이름 붙여진 이 취약점을 발견한 연구자는 이 취약점을 윈도에서 쓸 수 있도록 하는 코드도 함께 공개하였으며, 리눅스에서도 역시 작동된다고 합니다.



https://youtu.be/gChvv570faQ


원격 코드를 실행하는 모습이 담긴 데모 영상입니다. 여기서는 계산기가 실행되었지만, 악의적인 공격자였다면 악성코드를 실행하여 간단하게는(?) 사용자의 아이디와 비밀번호를 훔쳐가는 키로그를 돌리거나, 랜섬웨어 코드를 넣어 소중한 문서 파일과 사진 파일 등을 감염시킬 수 있을 것이고, 서버에 침투할 수 있는 내부의 적을 미리 심어두게 할 수도 있습니다. 얼마든지 다양하게 악용될 수 있지만, 공격을 위해서는 문서 파일을 켜기만 하면 된다는 점에서 이번 취약점은 매우 무서운 취약점이 아닐 수 없습니다.



이 취약점은 리브레오피스와 아파치 오픈오피스에 2018년 10월 18일에 신고되었고, 그에 따라 리브레오피스에서는 버전 6.0.7과 6.1.3에서 이 취약점에 대한 보안 패치를 완료하였습니다. 그러나, 아파치 오픈오피스에서는 이 게시물이 작성되고 있는 2019년 2월 6일까지도 그 어떠한 보안 패치를 내놓고 있지 않아 여전히 취약한 상태입니다.



따라서 아파치 오픈오피스를 사용하는 사용자들은 오픈오피스에서 보안 패치가 나올 때까지 오픈오피스가 설치된 폴더에서 pythonscript.py 파일을 제거하거나 이름을 바꾸어 오픈오피스에서 파이썬을 지원하지 못하도록 하는 임시 조치를 취해야 합니다.


리브레오피스는 현재 지원 중인 버전 6.0.7과 6.1.3에서만 보안 패치가 완료되었으며, 그 이하의 버전에 대해서는 이미 지원이 끊어졌기에 패치가 없을 것으로 전망되고 있습니다. 따라서 리브레오피스 사용자는 버전 6.0.7 또는 6.1.3 이상(현재 6.1.4)으로 업데이트할 것을 권고합니다.



우분투의 경우, 우분투 18.04 LTS는 버전 6.0.7 업데이트가 배포되어 취약하지 않으나, 우분투 16.04 LTS와 우분투 14.04 LTS는 구 버전을 사용함에 따라 취약하다고 나와 있습니다. 따라서 우분투 16.04와 우분투 14.04 사용자는 우분투에서 기본적으로 제공되는 리브레오피스가 아니라, 리브레오피스 PPA에서 제공하는 최신 버전을 사용할 것을 권고합니다. 물론 리눅스민트와 하모니카도 내용은 같습니다.


 * 리브레오피스 PPA : https://launchpad.net/~libreoffice/+archive/ubuntu/ppa



데비안의 경우, 9 Stretch에서는 보안 패치가 완료되었으나, 8 Jessie에서는 아직입니다.


레드햇과 CentOS의 경우, 7 버전에서는 취약하기 때문에 곧 보안 패치가 있을 것으로 보이나, 6 버전에서는 수정하지 않을 것이라고 합니다. (이미 지원이 끊어진 것이 아닌가 생각합니다.)



<참고>

https://thehackernews.com/2019/02/hacking-libreoffice-openoffice.html



출처: https://la-nube.tistory.com/531 [la Nube | 라 누베]
  • profile
    행복한펭귄 2019.02.06 19:19
    매우 중요한 보안 사항이네요.
    오피스는 누구나 애용하는 앱이니 필히 보안 사항 확인 후 패치 후 사용해야겠네요.
    정보 감사합니다.
  • ?
    krhamoni 2019.02.09 21:18

    유익한 정보 감사합니다.


    전문가와 비전문가의 시야는 확실히 다르군요.


    이런 문제들을 발견하는 분들은 대체 어떤 분들인지 궁금합니다.



  • ?
    Moordev 2019.02.10 16:10
    이런걸 전문적으로 찾는 사람이 컴퓨터 보안 연구소라는 곳에 참 많지요.

    이전에는 MS오피스의 PPT파일 하나만 열어도 특정 코드가 실행되는 문제가 생겨서 난리 난적이 있었지요. 당시 국방부에서 쓰던 오피스가 2003이었기에 보안패치가 전혀되지 않던 상황이었습니다.

    경험삿 코드를 들여다보면 이거 괜찮은가? 싶은 코드들이 보입니다. 그리고 혹시나 하고 넣어보면 역시나 싶은게 나오거든요.
  • profile
    행복한펭귄 2019.02.10 21:39
    보안 분야는 갈 수록 중요하죠.
    지금과 같은 인터넷 시대와 앞으로 5G 시대가 본격적으로 짐행되면 OS와 상관없이 더욱 중대한 보안 문제에 집중하지 않을 수 없습미다. 그래서 보안 전문가가 중요하죠.
  • ?
    혼지거 2019.03.18 16:47

     좋은 정보 감사합니다..

  • ?
    자유의지 2019.05.26 19:15

    보안취약점은 계속 업데이트 되어야 하는군요. 이 글과 무관하게 요즘 다시 리눅스민트 설치해서 써보고 있는데, 리브레오피스 6.2 버전 보고 많이 놀랐습니다. UI와 편의성에서 크게 개선이 보이네요. 프리젠테이션 하는게 파워포인트 아니면 불편했었는데, 어제 만져보니깐 이젠 쓸만하다는 생각을 할 정도로 편리해 졌네요. 메뉴방식도 우측에 나오고 생각보다 편리합니다. 리눅스 파이팅입니다.


List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 회고. 하모니카 프로젝트 지난 7년 5 file Kevin 2023.12.30 1369
공지 하모니카OS, 한국 리눅스 사용자의 인터넷 강의 서비스 이용 문제 해결 22 file Kevin 2023.12.25 1804
공지 [제9회 대한민국 SW제품 품질대상] 최우수상-인베슘 '하모니카 OS 5.0' 3 file Kevin 2022.12.07 1408
공지 하모니카OS, GS인증 1등급 획득!! 6 taiyin 2022.10.17 1833
공지 오픈소스 컨트리뷰션 참여방법 2 jullee 2020.12.04 5807
공지 설치 없이 사용할 수 있는 하모니카 VDI 클라우드 서비스가 출시되었습니다. 2 file Kevin 2020.03.12 7568
공지 하모니카OS 사용권한 안내 Kevin 2019.10.01 5379
공지 하모니카 커뮤니티 소개 20 Kevin 2018.04.01 7858
116 개방형OS 관련 질문 답변 공유 8 Kevin 2021.05.24 2222
115 하모니카 커뮤니티 2021-03 웹로그 분석 요약 1 file JamesBae 2021.04.07 2222
114 선택해주신 하모니카 로고 디자인 1번 시안입니다. 8 file dellma 2019.07.16 2121
113 학습혁명포럼 발표 안내 2 file Kevin 2019.11.26 2098
» 리브레오피스/오픈오피스에서 심각한 취약점 공개돼 6 la_Nube(누베) 2019.02.06 2028
111 하모니카OS와 알집, 알약이 함께합니다. 10 file taiyin 2020.11.13 1987
110 HamoniKR 7.0 kumkang 릴리즈 소식 23 Kevin 2023.11.17 1972
109 [행사안내]2021년 공개SW 개발자대회 - 인베슘도 후원사로 참여합니다 file Kevin 2021.06.30 1966
108 하모니카 ME 1.4 버전이 공개되었습니다. LukeHan 2019.10.11 1947
107 하모니카 6.0 Taebaek 출시 Event (종료) 4 file JamesBae 2022.11.18 1861
106 네이버 웨일 업데이트 - hwp 문서 바로보기 1 file Kevin 2020.04.26 1854
105 엑셀 대신 쓸만한 무료 오픈소스 제품 7선 2 행복한펭귄 2018.05.15 1842
104 [잡담] 유튜브에는 하모니카 리눅스가 없다??? 7 행복한펭귄 2018.05.15 1802
103 하모니카 커뮤니티 2020-11 웹로그 분석 요약 file JamesBae 2020.12.04 1757
102 (종료) 조립PC 사용기 이벤트!! (MSI 코리아 협찬) 32 file taiyin 2022.07.04 1750
101 하모니카 커뮤니티 2021-04 웹로그 분석 요약 1 file JamesBae 2021.05.10 1747
100 2019년 동북아 공개SW 컨퍼런스 & 기업박람회에 여러분을 초대합니다. file taiyin 2019.11.18 1746
99 하모니카 5.0 Hanla Beta 출시 안내 3 file JamesBae 2021.10.13 1740
Board Pagination Prev 1 2 3 4 5 6 7 8 Next
/ 8
CLOSE