데비안 주간 뉴스 - 2001년 3월 14일
데비안 주간 뉴스, 데비안 공동체의 소식지.
데비안이 사용자들에게 패키지와 릴리스를 전달하는 방법이 보안적 관점에서 부족하다는 것은 수년 간 잘 알려져 왔습니다. 방금 다운로드한 패키지가 정말로 데비안 개발자에 의해 만들어졌는지, 정말로 현재 데비안 릴리스의 일부인지 알아내는 방법은 없었습니다. 이는 빠르게 달라지고 있고, 머지않아 사용자들이 합법한 패키지를 설치하고 있는지 확인하기 위한 두 가지 보완적 방법이 생길 것입니다. 금주에 데비안 패키지의 서명을 체크하는 기능을 dpkg에 추가하는 패치가 debian-dpkg 메일링 리스트에 게시되었습니다. 서명은 패키지 자체의 새 섹션에 담겨질 것이며, 그러한 서명을 추가하고 체크하는 도구들이 현재 데비안에 들어오고 있습니다. 이런 유형의 패키지 사인하기는 오랫동안 rpm 세계에 존재해 온 비슷한 기술과 맞먹는 것이고, dpkg에 반가운 추가 기능이지만 그 유용성은 과장되어서는 안 됩니다.
사인된 패키지만으로는 아직도 공격을 받을 부분이 여러 남아 있습니다. 갖가지 나쁜 일이 Packages 파일에 행해질 수 있고, 혹은 apt에게 오래되고 불안전한 패키지를 다운로드하도록 속일 수 있습니다. 이러한 공격을 차단하는 일은 또 한 층의 보안, 즉 사인된 릴리스가 필요합니다. release.gpg 파일들이 이미 아카이브에 나타나고 있고, apt는 머지않아 데비안 시스템을 업그레이드할 때 이 서명들을 확인할 수 있게 될 것입니다. 최후 분석시 이 계획들은 어느 것도 완전한 보안을 보장하지 않지만 침해자들의 침입을 무척 더 어렵게 할 것이고, woody가 발표될 때쯤에는 두 가지 유형의 서명이 모두 널리 퍼질 것입니다.
stable에 대한 업데이트인 데비안 버전 2.2r3에 대한 준비가 진행되고 있습니다. 대부분의 소단계 개정본에서와 같이 보안 문제나 저작권 문제나 아주 나쁜 버그를 갖는 패키지들은 이 릴리스에서 업데이트될 전망입니다. 그것은 또한 2.4 커널과 호환하도록 만드는 업데이트를 포함할 지도 모르는데, 필요한 패키지들이 이미 모두 역이식되었기 때문입니다. Martin Schulze는 새 릴리스를 감독하고 있고, 업데이트할 패키지 리스트는 웹에 있습니다.
데비안 프로젝트 지도자 선거가 몇 가지 잘못된 시작 이후로 진행 중입니다. 개발자들은 표를 받아 gpg로 사인하여 메일로 부칠 수 있습니다. 투표는 28일에 끝납니다.
또 한번의 버그 퇴치 모임이 이번 주말에 열릴 계획입니다. 릴리스 치명적 버그가 지난 모임 이후로 거의 350개 남아 있고 woody가 발표되기 전에 모두 수정되어야 할 필요가 있으므로 이번 주말에 여유 시간이 있는 사람들은 한두 버그를 수정하는 데 도움을 주길 권합니다.
어떤 주는 끊임없는 보안 수정이 데비안에 쏟아져 들어옵니다. 이번 주는 그러한 주입니다. 이들 발표문 중 일부는 실제로 일찌기 수정되었으나 발표되지 않은 문제들에 대한 것들이지만, 많은 것은 새로운 보안 수정입니다.
- stable의 proftpd 패키지에서 여러 작은 버그가 작은 보안 문제를 유발할 수 있습니다.
- analog에서 원격 침입할 수 있는 버퍼 넘침은 CGI 인터페이스를 통해 악용할 수 있습니다.
- ePerl의 여러 가지 버퍼 넘침은 일부 설치 환경에서 원격 root 침입을 유발할 수 있다는 것이 발견되었습니다.
- man2html에서 원격 서비스 거부 공격이 발견되었다 -- 그것은 모든 기억량을 소모하도록 강제할 수 있습니다.
- midnight commander에서의 로컬 침입.
- 모든 xaw 대체 라이브러리(nextaw, xaw3d, xaw95)는 xaw 자체에서 일찌기 발견되어 수정된 몇 가지 보안 결함을 수정하도록 업데이트되었습니다.
- sgml-tools에서 임시 파일 보안 결함이 수정되었습니다.
- stable의 glibc에서 모두 root 침입인 두 가지 보안 결함이 수정되었습니다(참고로, 수정본은 suid 바이너리에서 ldd를 고장냈으므로 이를 수정하기 위해 업데이트가 아마 결국 발표될 것입니다).
- stable의 slrn에서 원격 침입할 수 있는 버퍼 넘침.
- joe는 현재 디렉터리에서 .joerc를 불안전하게 읽습니다. 이것은 joe가 /tmp/ 같은 디렉터리에서 실행되었을 때 현지에서 악용할 수 있었습니다.
- gnuserv와 xemacs에서 원격 침입할 수 있는 버퍼 넘침.
- Zope에서의 여러 가지 원격 공략.
- 현지에서 mail 그룹에 액세스를 줄 수 있는 mailx의 버퍼 넘침.
보안 팀은 금주에 그들의 모든 수고에 대해 많은 감사를 받을 만합니다.
이 뉴스를 매주 받아 보려면, debian-news 메일링 리스트에 가입하세요.
Back issues of this newsletter are available.
This issue of Debian Weekly News was edited by Joey Hess.