0xNews - libgcrypt 암호화 라이브러리에서 심각한 취약점 발견
0xNews - libgcrypt 암호화 라이브러리에서 심각한 취약점 발견
Google ProjectZero 발표
https://bugs.chromium.org/p/project-zero/issues/detail?id=2145
libgcrypt v.1.9.0 영향을 미침
힙 버퍼 오버플로우 heap buffer overflow 로 인해 libgcrypt 에 블록 버퍼 관리 코드가 잘못 사용
일부 데이터의 암호를 해독하는 것만으로도 공격자가 제어하는 데이터로 힙 버퍼가 오버플로우 될 수 있음
취약점이 발생하기 전 확인이나 서명이 검증되지 않음
이번 취약점은 발견하고 보고 즉시 패치 발표
최신 버전은 libgcrypt 1.9.1 업데이트 권고
https://gnupg.org/download/index.html
libgcrypt 라이브러리는 데이터와 통신을 암호화하고 서명하기 위해 GnuPG 소프트웨어 제품군의 일부로 제공되는 오픈소스 암호화 툴킷
openPGP 구현으로 openSSL 이나 libreSSL 만큼 널리 사용되지는 않음
하지만 Fedora 나 Gentoo 와 같은 많은 리눅스 배포판에서 디지털 보안 목적으로 사용
https://en.wikipedia.org/wiki/Comparison_of_cryptography_libraries
GnuPG 는 업데이트 후
2년 전 개발 단계에서 일반 해시 쓰기 기능에 대한 오버 헤드 감소 변경의 일환으로 도입
공격자가 이 중요한 취약점을 유발하기 위해서는
라이브러리에 특수 제작된 데이터 블록을 전송하여 암호를 해독하는 것
응용 프로그램이 그 안에 포함된 악성코드의 임의의 조각(셀 코드)를 실행하도록 속이거나 프로그램을 중단 시키는 것
libgcrypt 개발자 중 한명은 해당 취약점을 악용하는 것은 간단하며 사용자는 즉시 업데이트 해줄 것을 권고
https://lists.gnupg.org/pipermail/gnupg-announce/2021q1/000456.html
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.