안녕하세요. 카페24 입니다.

카페24 를 이용해 주시는 고객님께 감사의 말씀을 드립니다.

리눅스 Netfilter 취약점 보안 업데이트 권고 내용 관련 안내 드립니다.

자세한 사항은 아래 내용을 참고 부탁드립니다.

■ 개요

- Linux 커널의 Netfilter 하위 시스템에서 use-after-free 취약점이 발견되었습니다.

- 이 결함으로 인해 사용자 액세스 권한이 있는 로컬 공격자가 권한 상승 문제를 일으킬 수 있습니다.

- 커널 설정 변경 및 커널 업데이트를 통해 취약점에 대응해야 합니다.

■ 영향받는 커널 버전

- Linux 커널 5.18.1 이하

- CentOS 7 미만(5, 6) 버전은 Netfilter 시스템을 사용하지 않아 대상에서 제외

■ 패치된 커널 버전

RHEL7 : kernel-3.10.0-1160.71.1.el7 이상

RHEL8 : kernel-4.18.0-372.19.1.el8_6 이상

Ubuntu 18.04(Bionic) : 4.15.0-184.194 이상

Ubuntu 20.04(Focal) : 5.4.0-117.132 이상

Ubuntu 22.04(Jammy) : 5.15.0-37.39 이상

■ 해결 방안

1) 커널 값 수정을 통한 임시 조치

※ CentOS

(1) OS 및 커널 버전 확인

cat /etc/redhat-release; uname -r

(2) max_user_namespaces 적용 값 확인 (적용 값이 "0" 일 경우 취약점 없음)

cat /proc/sys/user/max_user_namespaces

sysctl -a | grep user.max_user_namespaces

(3) 적용 값이 "1" 일 경우 "0" 으로 설정 변경 및 적용

echo 0 > /proc/sys/user/max_user_namespaces

echo "user.max_user_namespaces=0" >> /etc/sysctl.conf

sysctl -p

(4) 설정 적용 확인

sysctl -a | grep user.max_user_namespaces

※ Ubuntu

(1) OS 및 커널 버전 확인

cat /etc/issue; uname -r

(2) unprivileged_userns_clone 적용 값 확인 (적용 값이 "0" 일 경우 취약점 없음)

sysctl -a | grep kernel.unprivileged_userns_clone

(3) 적용 값이 "1" 일 경우 "0" 으로 설정 변경 및 적용

echo "kernel.unprivileged_userns_clone = 0" >> /etc/sysctl.conf

sysctl -p

(4) 설정 적용 확인

sysctl -a | grep kernel.unprivileged_userns_clone

2) 커널 업데이트를 통한 영구 조치

[참고사이트]

[1] https://access.redhat.com/security/cve/cve-2022-32250

[2] https://ubuntu.com/security/CVE-2022-32250