CVE, RHSA, RHBA 의 대해 아시나요? 

안녕하세요.

오늘은 여러분들 가끔 접하는 단어인데 CVE, RHSA, RHBA 에 대해 알아보도록하겠습니다. 

아 그거 들어봤는데 하는데 정확하게 알지 못했다면, 오늘 제대로 쉽게 알려드리겠습니다. 

1. CVE란?

- CVE(Common Vulnerabilities and Exposures)는 공개적으로 알려진 컴퓨터 보안 결함 목록입니다. CVE는 보통 CVE ID 번호가 할당된 보안 결함을 뜻합니다.

벤더와 연구자가 발행한 보안 권고 사항에 최소 1개의 CVE ID가 언급되는 것이 일반적입니다. CVE는 IT 전문가들이 이러한 취약점에 우선 순위를 지정하고 해결하기 위해 협력함으로써 컴퓨터 시스템을 더욱 안전하게 관리하도록 지원합니다. 

> CVE 시스템은 어떻게 작동할까요?

CVE 프로그램은 미국 국토안보부 산하의 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)의 재정 지원을 받아 MITRE Corporation에서 감독합니다.

CVE 항목은 간략합니다. 기술적인 데이터나 위험, 영향, 픽스에 대한 정보는 포함하지 않습니다. 이러한 세부 정보는 미국 국가 취약점 데이터베이스(NVD), CERT/CC 취약점 참고 데이터베이스, 그리고 벤더와 기타 조직에서 유지 관리되는 다양한 목록을 비롯한 다른 데이터베이스에 나타납니다.

이처럼 다양한 시스템 전반에서 CVE ID는 고유한 취약점을 인식하고 보안 툴 및 솔루션 개발을 조정할 수 있는 신뢰할 수 있는 방법을 사용자에게 제공합니다. MITRE Corporation이 CVE 목록을 유지 관리하지만 CVE 항목이 되는 보안 결함은 오픈소스 커뮤니티에 속한 조직 및 구성원이 제출하는 경우가 많습니다.

===> 쉽게 요약하자면 패키지 곧 소프트웨어 취약점 이 발견되면, 그로 인해 해킹이발생될수있다고 생각되면 이 CVE에 번호를 붙여서 설명을 내놓습니다.  

     하지만, 이 CVE에 대해 work around 를 제시는 하지만 그 해결 방안은 해당 SW를 제공하는 업체가 내놓습니다. 만약 오픈소스라면 오픈소스 단체에서 내놓기 전까지 기다려야하지만요.

참고링크 :https://www.redhat.com/ko/topics/security/what-is-cve 

- 레드햇은 아래 링크에서 CVE에 대해 설명을 합니다. 그리고 CVE에 대해 검색도 가능합니다. 

. https://access.redhat.com/security/security-updates/cve

그럼 예시를 한번 보겠습니다. 

예시) 2024년 2월에 나온 CVE-2024-21626에 대해 알아보죠

RHSB-2024-001 Leaky Vessels - runc - (CVE-2024-21626)

> 요약 설명 :

Red Hat은 컨테이너 탈출을 허용하는 핵심 컨테이너 인프라 구성 요소인 'runc'의 취약성을 인식하고 있습니다. 공격자는 이러한 컨테이너 탈출을 사용하여 컨테이너 내에서 기본 호스트 운영 체제에 대한 무단 액세스 권한을 얻을 수 있습니다. 공격자가 이 취약성을 이용할 수 있는 방법에는 여러 가지가 있습니다. 이들은 사용자를 속여 악성 이미지를 사용하거나 구축하거나 'runc exec'로 실행할 수 있는 컨테이너 내의 악성 프로세스를 사용할 수 있습니다. 

- 아래와 같이 이 문제에 영향 받은 제품을 알려줍니다. 

The following Red Hat product versions are directly affected:

• Red Hat OpenShift Container Platform 4

• Red Hat OpenShift Container Platform 3.11 

• Red Hat Enterprise Linux 7

• Red Hat Enterprise Linux 8 

• Red Hat Enterprise Linux 9

> Work around

Red Hat Enterprise Linux(RHEL) 및 OpenShift는 enforcing mode에서 SELinux와 함께 제공되며, 이는 컨테이너 프로세스가 호스트 콘텐츠에 액세스하는 것을 방지하고 이 공격을 완화합니다.

> 해결 방법 

 - 아래와 같이 CVE를 해결해놓은 패키지를 제공합니다.  

---------------------------------------------------------------------------------------------------------------------------------------

---------------------------------------------------------------------------------------------------------------------------------------

그럼 여기서 RHSA와 RHBA에 대해 알아보겠습니다. 

CVE가 나오면 레드햇에서는 RHSA라는 명칭으로 취약점에 대한 보안을 내놓습니다. 

2. RHSA란 

RHSA(Red Hat Security Advisories)에서는 Red Hat 제품 및 서비스에서 수정되는 보안 결함에 대한 정보를 문서화합니다. 

각 RHSA에는 다음 정보가 포함됩니다.

. https://access.redhat.com/errata-search/

예시)   RHEL 의 8버전 X86_64 기준으로 찾은 내용을 아래와 같이 볼수있습니다. 

3. RHBA(Red Hat Bug Advisory): 란 

RHBA(Red Hat Bug Advisory): RHBA에는 항상 하나 이상의 버그 수정 사항이 포함되어 있으며 향상된 기능이 포함될 수 있지만 보안 수정 사항은 포함되어 있지 않습니다. RHBA는 버그 수정을 위해 출시되므로 RHEA보다 우선순위가 더 중요한 것으로 간주되는 경우가 많습니다. 

==> 곧 이것은 버그가 발견되면 버그를 인정하고 수정해서 내놓는것이라고 보시면 됩니다. 

이 RHSA 와 RHBA 를 우리는 Errata라 부르는데 

> 에라타란
errata라는 단어는 라틴어에서 왔고 erratum이라는 단어의 복수형입니다. 역사적으로 erratum이라는 단어는 일반적으로 게시 프로세스의 오류로 인해 게시된 텍스트를 수정하는 것을 나타냅니다. Red Hat errata는 보안 문제, 버그 또는 새로운 기능의 가용성을 기반으로 소프트웨어 패키지를 수정하거나 업데이트하는 것을 나타냅니다. 참고로 Red Hat은 errata, advisory, 그리고 심지어 errata advisory라는 용어를 서로 교환하여 사용합니다. errata advisory (errata advisory)는 게시된 텍스트이고, errata는 패키지 릴리스입니다. 

자 그럼 정리해보겠습니다. 어떤 보안 취약점이 발견되면 미국단체에서 CVE라는 이름으로 년도와 번호를 붙여서 알려줍니다. 

그럼 레드햇을 해당 CVE를 분석하여 RHSA 또는 RHBA를 내놓습니다. 우리는 그것을 에라타라고 부릅니다. 

매우 중요한 CVE 같은경우는 우리나라에서 수정을 하라고 공문이 내려옵니다. 예를 들어 ssh 이나 Openssl 같은경우는 심각도가 높아 

뉴스에도 나오기도 합니다. 

그래서 OS 운영자도 이 CVE에 대해 내 서버가 해당이 되는지 내가 운영하는 OS 버전이 영향이 있는지 있다면, 어떻게 

보안을 해야하는지에 대해 항상 검색하고 리스트해 놔야합니다~^^

긴글 읽어주셔서 감사합니다.