이미지 처리 도구에서 발견된 두 개의 취약점...패치 적용해야

요약 : 보안 외신 해커뉴스에 의하면 인기 높은 이미지 처리 도구인 이미지매직(ImageMagick)에서 새로운 취약점이 발견됐다고 한다. 총 두 개의 취약점으로, 각각 디도스 공격과 정보 유출 공격을 실시할 수 있도록 해 주는 것으로 분석됐다. 보안 업체 메타베이스큐(Metabase Q)에서 발견한 것으로 이미지매직 7.1.0-49 버전이 취약하다고 한다. 이미지매직 측은 7.1.0-52 버전을 발표하며 문제를 해결했다.


배경 : 디도스 공격을 가능하게 하는 취약점은 CVE-2022-44267이고, 정보 유출을 유발하는 취약점은 CVE-2022-44268이다. 2016년과 2020년에도 이미지매직에서 여러 가지 위험한 취약점들이 발견되기도 했었다.

말말말 : “이미지의 파일 이름을 특수한 문자열로 지정할 경우, 이미지 처리 프로세스가 진행되지 않고 끝까지 대기 상태로 유지됩니다. 파일 이름에 특정 경로가 포함될 경우, 일부 콘텐츠가 임베드 된 채 명령이 실행되기도 합니다.” -메타베이스큐-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>