널리 사용되는 Python Requests 라이브러리에서 심각한 보안 취약성(CVE-2024-47081)이 발견되었습니다. 공격자는 특정 API 호출을 악용하여 .netrc 파일에 저장된 자격 증명을 제3자에게 유출시킬 수 있습니다. 이 취약성은 라이브러리의 URL 처리 방식에서 비롯되며 2024년 9월에 보고되었지만 아직 수정되지 않았습니다. 해결책으로 사용자는 모든 API 호출에서 자격 증명을 명시적으로 지정하는 것이 좋습니다.
더 보기
Qualys 보안 자문은 Ubuntu 24.04의 비권한 사용자 네임스페이스 제한에서 발견된 세 가지 우회 방법을 자세히 설명합니다. 공격자는 aa-exec 및 busybox와 같은 기본적으로 설치된 도구를 활용하거나 LD_PRELOAD를 사용하여 네임스페이스 내에서 관리자 권한을 얻어 보안 조치를 우회할 수 있습니다. 이러한 취약점은 완전한 기능을 갖춘 네임스페이스를 생성할 수 있는 AppArmor 프로필을 악용하며, CAP_SYS_ADMIN 또는 CAP_NET_ADMIN과 같은 권한이 필요한 커널 취약점의 악용을 가능하게 할 수 있습니다.
더 보기
보안 연구원 Georgi Guninski는 Python 3.12 공식 문서의 CGI 모듈 코드 예시에 심각한 크로스 사이트 스크립팅(XSS) 취약성이 있음을 발견했습니다. 이 취약성은 사용자가 제공한 폼 데이터를 보안 위생 처리 없이 직접 출력하는 데서 비롯됩니다. 이는 Python 웹 개발에 큰 위험을 초래하며, ChatGPT 및 Deepseek과 같은 AI 생성 코드에도 영향을 미칠 수 있습니다. Python 3.13에서는 CGI 모듈이 제거되었지만, 상당량의 레거시 코드가 여전히 취약한 상태입니다.
더 보기