본문 바로가기

리눅스 리뷰/Rocky Linux 8

Rocky Linux 8 보안 업데이트: RLSA-2026:36188 (perl-HTTP-Daemon)

728x90

1. 개요

Rocky Linux 8에서 사용되는 Perl 모듈인 `perl-HTTP-Daemon`에 대한 중요 보안 업데이트가 발표되었습니다. 이 모듈은 HTTP 서버를 구현하기 위한 클래스를 제공하며, 이번 업데이트는 운영체제(OS) 명령 주입 취약점을 해결합니다.

2. 관련 취약점 (CVE) 상세

  • CVE-2026-8450: `send_file()` 함수 내에서 발생하는 2-인자 open() 호출로 인한 셸 명령 주입(Shell-magic injection) 취약점입니다. 공격자가 이를 악용할 경우 임의의 운영체제 명령을 실행할 수 있습니다.

3. 영향도 분석

해당 취약점은 원격에서 공격자가 시스템의 제어권을 탈취하거나 임의의 명령을 실행할 수 있게 하므로 매우 위험도가 높습니다(CVSS 기준 High 등급). `perl-HTTP-Daemon`을 사용하여 웹 서비스를 운영하거나 네트워크 통신을 처리하는 환경이라면 즉시 업데이트를 적용해야 합니다.

4. 업데이트 방법

시스템 터미널에서 다음 명령어를 실행하여 해당 패키지를 최신 버전으로 업데이트하십시오.

# perl-HTTP-Daemon 패키지 업데이트
sudo dnf update perl-HTTP-Daemon
    

업데이트 후에는 해당 모듈을 사용하는 관련 서비스(웹 서버 등)를 재시작하여 변경 사항을 적용해야 합니다.

5. Perl 모듈 및 네트워크 서비스 보안 모범 사례

Perl 환경 및 네트워크 서비스의 보안을 강화하기 위해 다음 사항을 권장합니다.

  • 입력 값 검증: 프로그램 내에서 파일 경로 등을 처리할 때, 사용자가 제어할 수 있는 입력값을 엄격하게 검증하고 셸 호출을 피하십시오.
  • 최소 권한 원칙: 네트워크 서비스는 항상 일반 사용자 권한으로 실행하고, 루트 권한이 필요한 경우 격리된 환경을 사용하십시오.
  • 보안 업데이트 자동화: 패키지 관리자의 Errata 알림을 정기적으로 확인하고, 보안 패치를 즉시 반영할 수 있는 프로세스를 마련하십시오.
  • 환경 하드닝: 웹 서버 등 외부와 연결된 서비스는 방화벽 및 접근 제어 정책(ACL)을 통해 최소한의 포트만 노출하십시오.

상세 정보: Rocky Linux Errata 공식 문서

반응형