1. 개요
[GRUB2 부트로더 취약점] KISA 보안 공지사항의 안랩 제품 연관성에 대한 안내입니다.
2. 내용
1) 제품 연관성
1-1) EMS
- EMS 4.6.10 버전 이상을 사용하는 EMS 어플라이언스 제품은 취약점 영향 범위에 속합니다.
- 하지만, EMS 어플라이언스 제품은 임의의 프로그램 또는 악의적인 코드가 내부에서 동작할 수 없는 폐쇄형 구조로, 해당 취약점에 영향을 받지 않습니다.
1-2) MDS
- 해당 취약점은 'grub.cfg' 파일을 파싱하면서 발생하는데, 해당 파일은 MDS 내부에 있어 개발자 모드로 진입해야 설정 변경이 가능합니다.
- '개발자 모드' 진입은 제한하고 있으므로 해당 파일에 접근이 불가하기 때문에 취약점에 영향을 받지 않습니다.
2) 관련 링크
- https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35546
3) 보안 공지
| GRUB2 부트로더 취약점 보안 업데이트 권고 2020.08.04 |
|
□ 개요
o GRUB2 부트로더에서 발생하는 취약점을 해결한 보안 업데이트 발표
o 낮은 버전을 사용 중인 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고
※ GRUB2 부트로더 : 시스템 부팅 시 가장 먼저 실행되어 하드웨어 초기화 및 운영체제를 로드하는 프로그램
□ 설명
o GRUB2 부트로더에서 버퍼오버플로우로 인해 발생하는 임의코드실행 취약점(CVE-2020-10713) 등 8개 [1]
□ 영향을 받는 제품 및 해결 방안
o 영향받는 버전 : GRUB2 2.06 이전 버전이 적용된 운영체제
| 제조사 |
영향받는 제품 |
패치 여부 |
| Redhat |
- Linux 7.x
- Linux 8.x
- Atomic Host
- OpenShift Container Platform 4 (RHEL CoreOS) |
패치 공개(8.1) [2][3]* |
| Debian |
Debian 10.x |
패치 공개(8.1) [4] |
| Microsoft |
- 윈도우즈 8.1 32/64bit, RT 8.1
- 윈도우즈 10 32/64bit : 1607, 1709, 1803, 1809, 1903, 1909, 2004
- 서버 2012, 2012 R2, 2016, 2019
- 서버 version 1903, 2004 |
개발 중 [5] |
| CentOS |
- Linux 7.x
- Linux 8.x
- CentOS Stream |
패치 공개(7.29) [6] |
| SUSE |
Linux Enterprise Server 11, 12, 15 |
패치 공개(7.29) [7]** |
| Ubuntu |
- 14.04 ESM
- 16.04 LTS
- 18.04 LTS
- 20.04 LTS |
패치 공개(7.29) [8] |
* 주의 : RHSA-2020:3216, 3217 설치 시 부팅이 불가한 현상이 발생할 수 있으므로 RHSA-2020:3262 이상으로 설치 [3]
** “CVE-2020-10713”으로 검색하여 패치 확인 [7]
※ 참고 사이트에 명시된 내용을 참고하여 업데이트 수행
□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번 없이 118
[참고사이트]
[1] https://www.kb.cert.org/vuls/id/174059
[2] https://access.redhat.com/security/vulnerabilities/grub2bootloader
[3] https://access.redhat.com/solutions/5272311
[4] https://www.debian.org/security/2020-GRUB-UEFI-SecureBoot/
[5] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200011
[6] https://lists.centos.org/pipermail/centos-announce/2020-July/035779.html
[7] https://scc.suse.com/patches/
[8] https://ubuntu.com/security/notices/USN-4432-1
|
|
