역직렬화 취약점 통한 임의코드실행 취약점 발견...개선 전까지 구형 버전으로 백포팅 예정

[보안뉴스 이상우 기자] 구글이 개발한 파이썬 기반 오픈소스 기계학습 및 인공지능 라이브러리 ‘텐서플로우(TensorFlow)’는 코드 실행 취약점 패치를 위해 데이터 양식인 ‘YAML’에 대한 지원을 중단한다고 밝혔다. YAML은 인간이 읽을 수 있는 언어로 데이터를 양식화하는 마크업 언어의 일종이다. 이번에 발견된 역직렬화 취약점(CVE-2021-37678)의 심각도는 9.3점으로, 공격자는 아직 직렬화되지 않은 YAML 직렬화 매커니즘을 악용해 데이터에 악의적인 페이로드를 주입하고, 임의 코드를 실행할 수 있다. 해당 패치를 수정한 텐서플로우 버전은 2.6.0으로 예상되며, 그때까지 2.5.1. 2.4.3, 2.3.4 등 구형 버전으로 백포팅 될 예정이다.


[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>