Rocky Linux 재단은 Rocky Linux 8 배포판의 xorg-x11-server 패키지에서 발견된 중요 보안 취약점을 해결하기 위한 보안 권고(RLSA-2026:38487)를 발표했습니다. 해당 취약점은 시스템의 가용성을 무력화하거나 권한 상승으로 이어질 수 있으므로 관리자의 빠른 업데이트가 요구됩니다.
1. 개요 및 취약점 정보
이번 업데이트는 X.Org 서버 및 관련 컴포넌트 내 Glamor 폰트 아틀라스(Font Atlas) 처리 과정에서 발생하는 힙 기반 버퍼 오버플로우(Heap-based Buffer Overflow) 결함을 수정합니다.
| 항목 | 내용 |
|---|---|
| 보안 권고 식별자 | RLSA-2026:38487 |
| 연관 CVE 번호 | CVE-2026-55999 |
| 취약점 유형 | CWE-122 (Heap-based Buffer Overflow) |
| 위험도 점수 (CVSS v3 Base Score) | 7.8 (High) 또는 환경에 따라 최대 8.5 / 8.8 식별 |
| 영향을 받는 플랫폼 | Rocky Linux 8 (x86_64, aarch64 등 전체 아키텍처) |
2. 취약점 세부 메커니즘 (CVE-2026-55999)
이 취약점은 X 연결(X connection)을 설정할 수 있는 로컬 공격자가 X 서버에 PCX 폰트를 제공하는 과정에서 발생합니다. X 서버 내 SetFont 함수가 호출될 때, 글꼴의 글자 경계선(Glyph Boundary)에 대한 유효성 검증이 누락되어 있습니다.
공격자가 조작된 폰트 데이터를 전송하면 Glamor 폰트 아틀라스 시스템이 할당된 힙 메모리 범위를 초과하여 데이터를 쓰게 되며, 이로 인해 메모리 오염이 발생합니다. 이는 X 서버 프로세스의 이상 종료(도스, DoS)를 유발하거나, 메모리 레이아웃을 정밀하게 제어할 경우 로컬 권한 상승(Privilege Escalation)으로 이어질 가능성이 존재합니다.
3. 영향을 받는 패키지 목록
아래 패키지들의 특정 버전 이하가 취약점에 노출되어 있으며, 신속한 업데이트가 필요합니다.
xorg-x11-server-Xorgxorg-x11-server-Xwaylandxorg-x11-server-commonxorg-x11-server-develxorg-x11-server-utils
4. 조치 및 해결 방법
Rocky Linux 8 표준 리포지토리에 취약점이 해결된 패키지가 업로드되었습니다. 시스템 관리자는 패키지 매니저(dnf)를 사용하여 즉시 업데이트를 수행해야 합니다.
# 시스템 패키지 업데이트 정보 확인
sudo dnf check-update
# xorg-x11-server 관련 패키지 업데이트 적용
sudo dnf update xorg-x11-server-common xorg-x11-server-Xorg
# 또는 시스템 전체 보안 업데이트 적용
sudo dnf update --security
업데이트를 적용한 후에는 변경 사항이 반영되도록 X 서버를 재시작하거나, 그래픽 세션을 사용하는 서비스(예: GDM, LightDM 등 디스플레이 매니저)를 재시작해야 합니다. 가장 안전한 반영을 위해 시스템 리부팅을 권장합니다.
5. 참고 자료
- Rocky Linux Errata: RLSA-2026:38487 상세 내역
- NIST NVD Database: CVE-2026-55999 상세 정보
- X.Org Foundation Security Advisory 참조
'리눅스 리뷰 > Rocky Linux 8' 카테고리의 다른 글
| Rocky Linux 8 보안 업데이트: RLSA-2026:38503 (OpenSSL) (0) | 2026.07.14 |
|---|---|
| Rocky Linux 8 보안 업데이트: RLSA-2026:36215 (compat-openssl10) (0) | 2026.07.14 |
| Rocky Linux 8 보안 업데이트: RLSA-2026:38488 (xorg-x11-server-Xwayland) (0) | 2026.07.14 |
| Rocky Linux 8 보안 업데이트: RLSA-2026:38485 (gegl) (0) | 2026.07.14 |
| Rocky Linux 8 보안 업데이트: RLSA-2026:38501 (FreeRDP) (0) | 2026.07.14 |