엔진엑스를 구현할 때 취약점 생겨...엔진엑스 자체의 문제는 아니라 패치 없어

요약 : 보안 외신 해커뉴스에 의하면 엔진엑스(NGINX) 웹 서버 프로젝트의 관리자들이 최근 LDAP 구현에 영향을 주는 제로데이 보안 취약점을 발견해, 이에 대한 완화 대책을 공유했다고 한다. 엔진엑스 오픈소스(NGINX Open Source)와 엔진엑스 플러스(NGINX Plus) 자체에 문제가 있는 것은 아니라고 하며, 따라서 패치를 마련할 수 없다고 한다. 엔진엑스를 구현할 때 주의해야 할 부분이 있는 것 뿐이라고 관리자들은 강조했다.


배경 : 제로데이 취약점이 발동되게 하는 조건은 세 가지라고 한다. LDAP를 구현할 때 파이선 기반 참고용 구현 데몬을 명령행 매개변수를 사용해 설정하거나, 사용되지 않는 설정 매개변수를 사용하거나, LDAP 인증을 위해 특수한 단체 멤버십을 사용했을 때다. 공격자들은 이 조건이 성립될 때 환경설정 매개변수들을 자신들의 데이터로 덮어쓰기 할 수 있게 된다.

말말말 : “엔진엑스 1.18 버전의 익스플로잇에 성공했습니다. 꽤나 많은 조직과 기업들이 이 익스플로잇을 통한 공격에 노출되어 있음 또한 발견했습니다. 그 기업들은 다음과 같습니다.” -블루호넷(BlueHornet)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>