원문.

New Linux Flaws Allow Password Hash Theft via Core Dumps in Ubuntu, RHEL, Fedora

ChatGTP 요약본.!!!

------------------------------------------------------------------------------------------------------------------------

2025년 5월, Qualys Threat Research Unit(TRU)은 Linux 시스템에서 두 가지 정보 유출 취약점을 발견했습니다. 이 취약점들은 Ubuntu, Red Hat Enterprise Linux(RHEL), Fedora 등에서 사용되는 core dump 처리 도구인 Apport와 systemd-coredump에 존재하며, 로컬 공격자가 민감한 정보를 탈취할 수 있는 가능성을 제시합니다 

주요 취약점 개요

1. CVE-2025-5054 (Apport 관련)

• CVSS 점수: 4.7

• 영향받는 버전: Apport 2.32.0 이하

• 취약점 설명: 공격자가 PID 재사용과 네임스페이스를 활용하여 SUID 프로그램의 core dump를 읽을 수 있는 race condition이 존재합니다.

2. CVE-2025-4598 (systemd-coredump 관련)

• CVSS 점수: 4.7

• 취약점 설명: 공격자가 SUID 프로세스를 강제로 크래시시키고, 동일한 PID를 가진 비-SUID 바이너리로 교체하여 원래의 권한 있는 프로세스의 core dump를 접근할 수 있는 race condition이 존재합니다.

보안 권고 및 완화 방법

• SUID core dump 비활성화: 루트 권한으로 다음 명령어를 실행하여 SUID 바이너리의 core dump 생성을 비활성화할 수 있습니다.

  bash

  
  

  echo 0 > /proc/sys/fs/suid_dumpable

이는 취약점을 완화하는 데 도움이 되지만, SUID 바이너리의 크래시 분석 기능도 함께 비활성화됩니다.

• 시스템 업데이트: 해당 취약점에 대한 패치가 배포되었으므로, 시스템의 Apport 및 systemd-coredump 패키지를 최신 버전으로 업데이트하는 것이 중요합니

추가 보안 조치

• core dump 접근 제한: core dump 파일에 대한 접근 권한을 제한하여 민감한 정보의 유출을 방지합니다.

• 모니터링 강화: 시스템 로그와 core dump 생성을 모니터링하여 비정상적인 활동을 조기에 탐지합니다.

• 보안 정책 검토: SUID 바이너리의 필요성을 재검토하고, 가능한 경우 대체하거나 사용을 최소화합니다.

이러한 취약점은 로컬 공격자가 시스템의 민감한 정보를 탈취할 수 있는 가능성을 제시하므로, 시스템 관리자와 보안 담당자는 신속한 대응이 필요합니다. 특히, SUID 바이너리의 core dump 생성을 비활성화하고, 관련 패치를 적용하는 것이 중요합니다.

더 자세한 정보는 The Hacker News 기사를 참고하시기 바랍니다.