인기 태그:
가상화 DNS 보안 형식적 검증 도달 가능성 분석 C언어 경제 컴파일러 오류 매크로 충돌 웹 확장 기능 개발 프레임워크 모든 태그

Pagure의 여러 심각한 취약성으로 인한 원격 코드 실행

2025-03-23
Pagure의 여러 심각한 취약성으로 인한 원격 코드 실행

보안 연구원들은 Fedora에서 사용하는 소프트웨어 포지인 Pagure에서 원격 코드 실행(RCE)을 허용하는 여러 심각한 취약성을 발견했습니다. 한 가지 취약성은 PagureRepo.log() 함수의 인수 주입으로 인해 발생하여 공격자가 임의의 파일에 쓰고 임의의 코드를 실행할 수 있게 합니다. 다른 취약성에는 경로 탐색 및 심볼릭 링크의 부적절한 처리가 포함됩니다. 이러한 취약성은 Fedora 패키지 사양 파일을 변경하여 악의적인 코드를 도입하는 데 악용될 수 있습니다. 공격자는 `/srv/git/.bashrc` 파일을 덮어써 Pagure 서버에 대한 완전한 제어권을 얻을 수도 있습니다. Fedora는 이 문제를 해결하기 위해 Forgejo로 마이그레이션했지만, 이러한 취약성은 오픈소스 소프트웨어 공급망 보안의 중요한 문제점을 보여줍니다.

더 보기
(fenrisk.com)
개발

리눅스 배포판 공급망 취약점: 며칠 만에 시스템 전체 위험

2025-03-19
리눅스 배포판 공급망 취약점: 며칠 만에 시스템 전체 위험

연구원들은 리눅스 배포판의 소프트웨어 인프라에 존재하는 취약점을 발견했습니다. 이를 통해 공격자는 단 며칠 만에 시스템 전체를 손상시킬 수 있습니다. 종속성을 표적으로 하는 복잡한 공급망 공격과 달리, 이 연구는 Fedora의 Pagure나 openSUSE의 Open Build Service와 같이 배포판 자체의 인프라에 초점을 맞추고 있습니다. 인수 주입 취약점을 악용함으로써 공격자는 보안 제어를 쉽게 우회하고 악의적인 코드를 주입할 수 있었습니다. 이는 대규모 오픈소스 프로젝트조차 심각한 공급망 보안 위험에 노출되어 있음을 보여주며, 소프트웨어 인프라의 보안 감사 및 보호 강화의 필요성을 강조합니다.

더 보기
(fenrisk.com)
기술 리눅스 배포판 소프트웨어 취약점