홈 > 고객센터 > 공지사항
안녕하세요. 카페24 입니다.
카페24 를 이용해 주시는 고객님께 감사의 말씀을 드립니다.
리눅스 Netfilter 취약점 보안 업데이트 권고 내용 관련 안내 드립니다.
자세한 사항은 아래 내용을 참고 부탁드립니다.
■ 개요
- Linux 커널의 Netfilter 하위 시스템에서 use-after-free 취약점이 발견되었습니다.
- 이 결함으로 인해 사용자 액세스 권한이 있는 로컬 공격자가 권한 상승 문제를 일으킬 수 있습니다.
- 커널 설정 변경 및 커널 업데이트를 통해 취약점에 대응해야 합니다.
■ 영향받는 커널 버전
- Linux 커널 5.18.1 이하
- CentOS 7 미만(5, 6) 버전은 Netfilter 시스템을 사용하지 않아 대상에서 제외
■ 패치된 커널 버전
RHEL7 : kernel-3.10.0-1160.71.1.el7 이상
RHEL8 : kernel-4.18.0-372.19.1.el8_6 이상
Ubuntu 18.04(Bionic) : 4.15.0-184.194 이상
Ubuntu 20.04(Focal) : 5.4.0-117.132 이상
Ubuntu 22.04(Jammy) : 5.15.0-37.39 이상
■ 해결 방안
1) 커널 값 수정을 통한 임시 조치
※ CentOS
(1) OS 및 커널 버전 확인
cat /etc/redhat-release; uname -r
(2) max_user_namespaces 적용 값 확인 (적용 값이 "0" 일 경우 취약점 없음)
cat /proc/sys/user/max_user_namespaces
sysctl -a | grep user.max_user_namespaces
(3) 적용 값이 "1" 일 경우 "0" 으로 설정 변경 및 적용
echo 0 > /proc/sys/user/max_user_namespaces
echo "user.max_user_namespaces=0" >> /etc/sysctl.conf
sysctl -p
(4) 설정 적용 확인
sysctl -a | grep user.max_user_namespaces
※ Ubuntu
(1) OS 및 커널 버전 확인
cat /etc/issue; uname -r
(2) unprivileged_userns_clone 적용 값 확인 (적용 값이 "0" 일 경우 취약점 없음)
sysctl -a | grep kernel.unprivileged_userns_clone
(3) 적용 값이 "1" 일 경우 "0" 으로 설정 변경 및 적용
echo "kernel.unprivileged_userns_clone = 0" >> /etc/sysctl.conf
sysctl -p
(4) 설정 적용 확인
sysctl -a | grep kernel.unprivileged_userns_clone
2) 커널 업데이트를 통한 영구 조치
[참고사이트]
[1] https://access.redhat.com/security/cve/cve-2022-32250
[2] https://ubuntu.com/security/CVE-2022-32250