CVE-2024-2961 GNU C Library 취약점

 

CVE	제품명	설명	취약한 버전
CVE-2024-2961	glibc	GNU C Library versions 2.39 이하 버전의 iconv() 함수에서 중국어 언어 세트인 ISO-2022-CN-EXT 문자 세트로 변환할 때, 전달된 출력 버퍼를 최대 4바이트까지 오버플로우 할 수 있습니다. 이를 통하여 애플리케이션을 충돌시키거나 인접 변수를 오버라이팅하는데 사용될 수 있습니다.	2.39 이하

 

-      원인: ISO-2022-CN-EXT는 문자 집합 변경을 나타내기 위해 이스케이프 시퀀스를 사용합니다. (RFC 1922에 명시됨). SOdesignation은 예상 경계 확인 로직이 있습니다. 하지만 SS2designation 및 SS3designation에서는 '$+I', '$+J', '$+K', '$+L', '$+M', '$*H'와 같은 값을 고정할 때, 1~3바이트의 오버플로를 허용하는데 해당 부분에서 문제가 발생하고 있습니다.

 

※     ISO-2022-CN-EXT: ISO-2022-CN의 확장으로, 중국어 문자 집합을 다루는 국제 표준.

이 표준은 중국어를 처리하기 위한 문자 인코딩 및 문자 집합을 정의하고 있습니다. ISO-2022-CN은 중국어 간체와 번체를 다루며, ISO-2022-CN-EXT는 ISO-2022-CN을 확장하여 중국어의 다양한 문자 집합을 지원합니다.

 

[해결방안]

1.     영향받는 버전별 Fix-Commit 적용

2.     리눅스 배포판별 하단의 참고사이트를 확인하여 각 시스템의 패키지 업데이트 수행

※ Debian [2]

※ Redhat/CentOS [3]

※ Ubuntu [4]

※ Suse [5]

※ Fedora [6][7][8]

 

 [참고사이트]

[1] https://sourceware.org/git/?p=glibc.git;a=blob;f=advisories/GLIBC-SA-2024-0004

[2] https://security-tracker.debian.org/tracker/CVE-2024-2961

[3] https://access.redhat.com/security/cve/CVE-2024-2961

[4] https://ubuntu.com/security/CVE-2024-2961

[5] https://www.suse.com/security/cve/CVE-2024-2961.html

[6]https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BTJFBGHDYG5PEIFD5WSSSKSFZ2AZWC5N/

[7]https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YAMJQI3Y6BHWV3CUTYBXOZONCUJNOB2Z/

[8]https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/P3I4KYS6EU6S7QZ47WFNTPVAHFIUQNEL/

[9] https://www.boho.or.kr/kr/bbs/view.do?searchCnd=4&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=71425