2024년 5월 7일 데브코어 보안 연구원에 의해서 php 새로운 보안 취약점 (CVE-2024-4577) 공개가 되었습니다. 이와 함께 PHP 업데이트가 진행이 되었는데요. 이 새로운 보안 취약점은 완전 새로운 형태의 보안 취약점은 아니고 이전에 존재 했었던 CVE-2012-1823 취약점의 패치를 우회 하는 형태 입니다.
보안 취약점 패치 대상 php
이 보안 취약점 (CVE-2024-4577)은 뚫고 들어가는 난이도는 매우 낮고, 미치는 영향력은 매우 큰 초 고 위험의 보안 취약점 으로 분류되었습니다.
문제를 일으키는 부분은 윈도우 운영체제의 언어 인코딩 변환 기능 중 Best-Fit 기능과 관련된 것으로 공격자가 임의 CGI 코드를 주입하여 원격 서버에서 실행 할 수 있는 것으로 확인 되었습니다.
더 자세히 살펴보면 윈도우 언어 중 특히 기본 중국어, 간체 중국어, 일본어 등 한자권 언어로 설정으로 되어 있는 경우 이러한 문제가 발생합니다.
이는 한자권 이외의 윈도우에서 문제가 없다는 뜻은 아닙니다. 데브코어의 말에 따르면 php의 활용 범위가 너무 넓어서 모든 공격 시나리오를 파악할 수 없다는 의미이지 한자권 윈도우가 아니면 안전하다는 의미는 아니라고 경고 하고 있습니다.
즉 어떤 언어권의 윈도우를 사용하든 php 의 최신 버전 업데이트가 필요합니다.
이번 보안 취약점 은 모든 php 버전에 영향을 줍니다. 때문에 이를 방어 하기 위해서는 아래의 최신 버전으로의 패치가 필요합니다.
1) PHP 8.3 계열은 8.3.8
2) PHP 8.2 계열은 8.2.20
3) PHP 8.1 계열은 8.1.29
4) php 8.0 이하 버전은 지원 종료, 서비스 없음
XAMPP 사용자 임시 보안 조치
이번 데브코어 보고서에 따르면 모든 윈도우 용 XAMPP가 이 취약점 에 노출되어 있다고 이번 발표에서 보고서를 통해 문제를 제기 하였습니다.
하지만 이 글을 작성하는 이 시점 까지도 관련 패치는 이루어 지지 않고 있어 XAMPP 를 사용하는 서버 관리자들이 패치를 하고 싶어도 할 수 없는 상황 입니다.
이 경우 서버 설정을 통해 문제가 되는 것을 임시 조치할 수 있습니다.
이는 임시적인 방법이며 근본적인 해결을 위해서는 향후 나올 php 패치가 이루어진 XAMPP 신버전을 적용해야 합니다.
임시 조치 방법
다음의 서버 설정 파일을 메모장으로 엽니다.
xampp/apache/conf/extra/httpd-xampp.conf
Ctrl + F 를 통해 아래의 행을 찾습니다.
ScriptAlias /php-cgi/ “C:/xampp/php/”
그리고 아래 처럼 주석 처리를 하여 보안 취약점 을 제거 합니다.
# ScriptAlias /php-cgi/ “C:/xampp/php/”