목록2024/04 (1)
어읽로꾸거
[CVE-2024-3094] XZ 백도어 이슈 동작 정리 (SSH)
오픈소스 압축 유틸리티 xz의 보안 이슈(백도어)로 인하여 이번달 초에 이슈가 된 적이 있었다. 이 보안 이슈는 기존의 의도되지 않은 오픈소스의 보안 이슈와 달리 악의적으로 계획된 보안 이슈 라는 점에서 차이점이 있다. (악의적 어태커가 xz 프로젝트에 22년부터 지속적으로 커밋을 하며 오픈소스에 기여하는 척을 하며 관리자에게 신뢰를 얻고, 결국 오픈 소스 관리 권한을 얻어 24년 2월 백도어가 담긴 tarball 를 release 함, 그리고 3월 29일에 MS 개발자에 의해 발견 됨. 백도어는 소스코드에 포함되어 있던게 아닌, 테스트 파일에 포함되어 있었고, 빌드 과정에서 해당 백도어를 포함하여 빌드하도록 빌드 설정 파일을 넣음) 이 글에선 해당 XZ가 어떤 식으로 백도어가 동작하는 지에 대한 방법 ..
정리
2024. 4. 21. 20:49