레디스의 루아 엔진에서 스택 버퍼 오버플로우 오류로 원격 코드 실행 취약점 발생
악의적 코드 실행·데이터 탈취 및 서버 제어 위험...주 고객인 소규모 기업은 신속한 업데이트 필요

[보안뉴스 박은주 기자] 오픈소스 기반의 비관계형 데이터베이스 관리 시스템 ‘Redis(레디스)’에서 원격 코드 실행 취약점(RCE)이 발견됐다. 악의적 코드 실행, 데이터 탈취 및 서버 제어 위험이 있어 신속한 보안 업데이트가 요구된다.

비관계형 데이터베이스 시스템은 SQL 대신 ‘NoSQL’ 방식을 사용하는 시스템을 말한다. 이 시스템은 행과 열로 구성된 테이블 형식의 고정된 스키마를 사용하지 않으며, 분산 환경에서도 높은 확장성과 가용성을 제공한다. 정형화된 틀로는 관리하기 어려운 영상, 사진과 같은 비정형 데이터를 처리하는 데 적합하다. 특히 세계적으로 널리 사용되고 있으며, 초기 구축 비용이 적어 소규모 기업에서도 많이 활용하고 있다.

취약점은 레디스의 루아(Lua) 엔진 내부 라이브러리에서 발견됐다. 루아 엔진은 사용자 스크립트를 실행하도록 레디스에 내장된 도구로, 데이터를 더 편리하게 처리할 수 있도록 설계됐다. 이 엔진에서 발생한 설계 오류로 인해 취약점이 발견된 것이다.

루아 엔진에서 특정 스크립트를 실행할 때 스택 버퍼 오버플로우(A Stack-Based Buffer Overflow)가 발생하게 된다. 스택 버퍼 오버플로우는 프로그램이 스택 메모리 영역을 초과해 데이터를 처리할 때 발생하는 취약점을 말한다. 해당 취약점을 악용하면, 인증된 사용자는 원격으로 서버에서 악의적인 코드를 실행하거나 데이터 탈취 및 서버를 제어할 수 있는 위험이 존재한다. 이 취약점은 ‘CVE-2024-31449’로 등록됐으며, CVSS(취약점 심각도 점수) 점수 7점을 받아 ‘높은’ 수준의 위험도로 평가됐다.


취약점에 영향받는 제품 버전과 해결 버전은 위 표와 같다. 특히, 레디스 서버를 사용하는 소규모 기업이 많은 만큼, 해당 취약점에 대한 패치를 신속히 적용할 필요가 있다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>