본문 바로가기

리눅스 리뷰/Rocky Linux 8

Rocky Linux 8 보안 업데이트: RLSA-2026:36366 (kernel)

728x90

Rocky Linux 8 운영체제의 핵심 시스템을 구성하는 kernel 패키지에 대한 중요 보안 업데이트가 발표되었습니다. 시스템의 가용성과 무결성을 확보하기 위해 아래 내용을 확인하시고 신속하게 패치를 적용하시기 바랍니다.

1. 개요

Rocky Linux 보안팀은 운영체제의 핵심 엔진인 리눅스 커널(kernel)에서 발견된 보안 취약점을 해결하기 위한 보안 업데이트(RLSA-2026:36366)를 2026년 7월 11일 발표했습니다. 본 업데이트는 실시간(RT) 환경이 아닌 Rocky Linux 8 기본 커널을 사용하는 모든 시스템을 대상으로 하며, 커널 수준의 오류는 시스템 전체의 중단으로 이어질 수 있으므로 신속한 조치가 권장됩니다.

2. 관련 취약점 (CVE) 상세

  • CVE-2026-43112: 리눅스 커널 CIFS(Common Internet File System) 클라이언트의 범위를 벗어난 읽기(Out-of-bounds Read) 취약점
  • 상세 원인: 커널의 fs/smb/client 소스코드 내부 cifs_sanitize_prepath 함수가 특정 조건의 입력값(빈 문자열 또는 구분자 '/'만 포함된 경로 문자열)을 처리할 때, 버퍼 경계 확인 절차 전에 이전 메모리 주소(cursor2 - 1)를 참조하도록 오작동하여 발생합니다. 수동 코드 검증 및 AddressSanitizer 테스트 결과, 세그멘테이션 결함(SEGV)과 함께 시스템 충돌이 발생하는 것이 확인되었습니다.
  • 심각도: CVSS3.1 기본 점수 8.8 (High)

3. 영향도 분석

해당 취약점은 파일 공유 및 스토리지 연결을 위해 커널 내에서 SMB/CIFS 클라이언트를 활성화하여 운영 중인 시스템에 위협이 됩니다. 악의적인 공격자가 원격 또는 내부에서 조작된 경로 변수를 시스템에 전달할 경우, 커널 수준에서 유효하지 않은 메모리 영역을 강제로 읽게 만듭니다. 이는 시스템을 즉시 중단(커널 패닉)시키는 서비스 거부(DoS) 상태를 유발하며, 시스템 인프라의 가용성에 매우 치명적인 영향을 미칩니다.

4. 업데이트 방법

시스템 터미널에서 기본 패키지 매니저를 사용하여 최신 커널로 패키지를 업데이트하십시오. 커널 패치는 핵심 시스템 변경을 수반하므로 적용 후 리부팅이 반드시 필요합니다.

# 커널 패키지 업데이트
sudo dnf update kernel

# 패치 반영을 위한 시스템 재부팅
sudo reboot

업데이트가 완료되면 kernel-0:4.18.0-553.141.1.el8_10.0.1 이상 버전이 적용됩니다. 관련된 하위 모듈(kernel-core, kernel-modules 등) 역시 함께 최신 버전으로 갱신됩니다.

5. 리눅스 커널 및 스토리지 보안 모범 사례

운영체제 커널의 구조적인 취약점을 지속적으로 방어하고 시스템 하드닝을 구현하기 위해 정기 패치와 함께 다음 보안 원칙을 준수해야 합니다.

  • 불필요한 모듈 로딩 비활성화: 서버 환경에서 SMB/CIFS 프로토콜을 이용한 원격 파일 공유 기능이 불필요한 경우, cifs 관련 커널 모듈이 자동 로드되지 않도록 /etc/modprobe.d/ 경로 내에 블랙리스트 설정을 추가하여 잠재적 공격 표면을 제거하십시오.
  • 네트워크 격리 및 접근 제어: 파일 공유 스토리지 통신에 사용되는 포트(TCP 445 및 NetBIOS 관련 포트)가 공인 외부 네트워크에 직접 노출되지 않도록 제어하십시오. 방화벽(firewalld 또는 iptables)을 구성하여 신뢰할 수 있는 특정 내부 대역 내부에서만 접근할 수 있도록 통제해야 합니다.
  • 안정적인 커널 파라미터 구성: 예기치 못한 커널 패닉 상태가 발생했을 때 시스템이 알 수 없는 덤프 상태로 멈춰 있는 현상을 방지하려면, sysctl 설정을 통해 kernel.panic 값을 지정하여 문제 발생 시 시스템이 안전하게 자동 재부팅되도록 유도하십시오.
  • 정기적인 무결성 및 로그 모니터링: 커널 내부 로그(dmesg) 및 시스템 로그(journalctl)를 정기적으로 모니터링하여 파일 시스템 참조 오류나 하드웨어 인터럽트 예외 징후를 조기에 탐지하는 파이프라인을 구축하십시오.
  • 단계별 배포 프로세스 준수: 커널 업데이트는 구동 중인 서비스 및 서드파티 드라이버와의 호환성 문제가 발생할 가능성이 있으므로, 운영 서버에 직접 적용하기 전에 반드시 스테이징 또는 테스트 환경에서 검증 절차를 수행하십시오.

 

반응형