서드파티 요소로서 알음알음 널리 사용되는 소프트웨어...파급력 높을 수도

요약 : 보안 외신 해커뉴스에 의하면 오픈소스인 카사OS(CasaOS)에서 초고위험도 취약점들이 발견됐다고 한다. CVE-2023-37265와 CVE-2023-37266으로, 둘 다 CVSS 기준 9.8점을 받았을 정도로 위험하다. 성공적으로 익스플로잇 한 경우 공격자는 임의의 코드를 실행할 수 있게 되며 시스템을 장악하는 것도 가능하게 된다. 다행히 발견자는 보안 전문가였고, 7월 3일에 개발사 측에만 알려 현재는 패치가 나온 상황이다. 0.4.4 버전이 안전한 버전이다.


배경 : 카사OS는 ‘개인 클라우드’ 소프트웨어의 일종으로 오픈소스이며, 폭넓은 사용자 층을 확보하고 있다. 서드파티 애플리케이션으로서 활용되는 경우가 많아 사용자들은 자신이 카사OS를 사용하고 있다는 것을 대부분 인지하지 못한다. 따라서 패치가 원활하지 않을 수 있으며, 파급력이 생각보다 클 수 있다.

말말말 : “CVE-2023-37255는 출처 IP 주소를 올바르지 않게 파악하는 현상이고, CVE-2023-37256은 임의의 제이슨 웹 토큰(JSON Web Token)을 조작하여 명령을 실행할 수 있게 해 주는 취약점입니다.” -해커뉴스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>