Flatpak 보안 업데이트 권고(CVE-2024-42472) - ASEC
Flatpak 보안 업데이트 권고(CVE-2024-42472) - ASEC
개요 Flatpak에서 발생하는 취약저을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 시스템 사용자는 최신 버전으로 업데이트하시기 바랍니다. 대상 제품 CVE-2024-42472 Flatpak 버전: ~ 1.1
asec.ahnlab.com
- 개요
- Flatpak에서 발생하는 TOCTOU(Time-of-check Time-of-Use) 취약점을 해결하는 보안 업데이트가 발표됨
- 해당 시스템 사용자는 최신 버전으로 업데이트 필요
- 대상 제품
- Flatpak 버전: 1.14.8 이하
- Flatpak 버전: 1.15.x ~ 1.15.9
- 해결된 취약점
- CVE-2024-42472: persistent 디렉토리를 사용하는 앱이 홈 디렉토리 외부의 파일에 접근하고 쓸 수 있는 취약점
- 악의적인 앱이 persistent 디렉토리를 통해 홈 디렉토리 외부 파일에 접근하고 수정할 수 있어 무결성과 기밀성에 대한 공격 가능
- 앱이 persistent=subdir를 사용하면, 사용자는 빈 홈 디렉토리와 쓰기 가능한 하위 디렉토리만 보게 되지만, 심볼릭 링크를 악용해 샌드박스 외부 파일에 접근할 수 있음
- CVE-2024-42472: persistent 디렉토리를 사용하는 앱이 홈 디렉토리 외부의 파일에 접근하고 쓸 수 있는 취약점
- 취약점 패치
- 최신 업데이트를 통해 **Flatpak 버전 1.14.10** 이상 또는 **1.15.10** 이상 버전에서 해당 취약점이 해결됨 - **영향받는 버전**을 사용하는 경우 즉시 최신 버전으로 업데이트 필요- 조치 사항
- **Flatpak** 버전 **1.14.10** 이상 또는 **1.15.10** 이상으로 업데이트 - **Bubblewrap**도 함께 패치되어야 할 수 있으므로 시스템 설정을 확인하고 적절히 업데이트- 참고 사이트
'Kant's IT > Vulnerability' 카테고리의 다른 글
| CISA가 추가한 알려진 취약점 목록과 보안 권고 (0) | 2024.10.07 |
|---|---|
| Cisco 제품군 2024년 9월 2차 보안 업데이트 권고 (1) | 2024.10.01 |
| WordPress The Events Calendar 플러그인 보안 업데이트 권고 (CVE-2024-8275) (1) | 2024.10.01 |
| NVIDIA 제품 보안 업데이트 권고 (CVE-2024-0132) (1) | 2024.10.01 |
| 10년 넘은 리눅스 취약점 발견, 심각도 9.9점…조직의 대비 필요 (1) | 2024.10.01 |