Rocky Linux 8 환경에서 실시간(Real-Time) 워크로드를 처리하는 kernel-rt 패키지에 대한 중요 보안 업데이트가 발표되었습니다. 시스템의 가용성과 안정성을 확보하기 위해 아래 내용을 확인하시고 신속하게 패치를 적용하시기 바랍니다.
1. 개요
Rocky Linux 보안팀은 고도의 결정성과 성능 파인 튜닝이 요구되는 환경에서 사용되는 리얼타임 리눅스 커널(kernel-rt)의 취약점을 해결하기 위한 보안 업데이트(RLSA-2026:36365)를 2026년 7월 11일 발표했습니다. 커널 수준의 취약점은 전체 시스템의 붕괴나 서비스 거부로 이어질 수 있어 즉각적인 관리가 필요합니다.
2. 관련 취약점 (CVE) 상세
- CVE-2026-43112: 리눅스 커널 CIFS(Common Internet File System) 클라이언트의 범위를 벗어난 읽기(Out-of-bounds Read) 취약점
- 상세 원인: 커널의
fs/smb/client소스코드 내cifs_sanitize_prepath함수가 특정 조건의 입력값(빈 문자열 또는 구분자 '/'만 포함된 문자열)을 처리할 때, 버퍼 경계 확인 전에 이전 메모리 주소(cursor2 - 1)를 참조하도록 구현되어 있어 발생합니다. 수동 코드 오디트 및 AddressSanitizer 테스트를 통해 세그멘테이션 결함(SEGV)과 시스템 충돌이 발생하는 것이 검증되었습니다. - 심각도: CVSS3.1 기본 점수 8.8 (High)
3. 영향도 분석
해당 취약점은 파일 공유를 위해 SMB/CIFS 클라이언트를 활성화하여 운영 중인 시스템에 직접적인 위협이 됩니다. 공격자가 원격 또는 내부에서 조작된 경로 변수를 전달할 경우, 커널 수준에서 유효하지 않은 메모리 영역을 읽게 만들어 시스템을 즉시 중단(커널 패닉)시키는 서비스 거부(DoS) 상태를 유발할 수 있습니다. 시스템의 무결성과 가용성에 미치는 영향이 매우 큽니다.
4. 업데이트 방법
시스템 터미널에서 패키지 매니저를 통해 최신 커널로 업데이트를 진행하십시오. 커널 패치이므로 적용 후 시스템 재부팅이 필수적입니다.
# 리얼타임 커널 패키지 업데이트
sudo dnf update kernel-rt
# 패치 반영을 위한 시스템 재부팅
sudo reboot
업데이트가 정상적으로 완료되면 kernel-rt-0:4.18.0-553.141.1.rt7.482.el8_10 이상 버전이 적용됩니다.
5. 리눅스 커널 및 스토리지 보안 모범 사례
운영체제 커널의 취약점 방어와 시스템 하드닝을 위해 정기적인 패치 외에 다음 보안 원칙을 준수해야 합니다.
- 필요 최소한의 모듈 로딩: 시스템에서 SMB/CIFS 원격 파일 공유를 사용하지 않는 경우, 관련 커널 모듈(cifs 등)이 자동으로 로드되지 않도록 블랙리스트에 등록하여 공격 표면을 최소화하십시오.
- 네트워크 접근 제어: 스토리지 서비스 및 SMB 통신 관련 포트(TCP 445 등)는 외부 공인망에 노출되지 않도록 신뢰할 수 있는 내부 IP 대역에서만 접근할 수 있도록 방화벽(firewalld / iptables) 정책을 수립하십시오.
- 보안 진단 툴 활용: AddressSanitizer 등과 같은 메모리 검증 툴이나 정적 소스코드 분석 도구를 테스트 단계에서 연계하여 잠재적인 메모리 취약점을 사전에 검증하십시오.
- 커널 파라미터 최적화: 예기치 못한 커널 패닉 발생 시 시스템이 영구 불능 상태에 빠지지 않고 안전하게 자동 재부팅되도록
sysctl설정을 통해kernel.panic값을 구성하십시오. - 이중화 및 모니터링: 실시간 워크로드 환경에서는 시스템 다운타임에 대비하여 고가용성(HA) 클러스터를 구성하고, 커널 로그(dmesg) 내 이상 징후를 실시간으로 탐지하는 체계를 구축하십시오.
'리눅스 리뷰 > Rocky Linux 8' 카테고리의 다른 글
| Rocky Linux 8 보안 업데이트: RLSA-2026:38847 (nginx:1.24) (0) | 2026.07.14 |
|---|---|
| Rocky Linux 8 보안 업데이트: RLSA-2026:36366 (kernel) (0) | 2026.07.14 |
| Rocky Linux 8 보안 업데이트: RLSA-2026:37137 (Apache Tomcat) (0) | 2026.07.11 |
| Rocky Linux 8 보안 업데이트: RLSA-2026:36774 (GStreamer-plugins-good) (0) | 2026.07.11 |
| Rocky Linux 8 보안 업데이트: RLSA-2026:36188 (perl-HTTP-Daemon) (0) | 2026.07.11 |