꿈을꾸는 파랑새

Mojang 스튜디오에서 2011년 정식 발매한 샌드박스 형식의 비디오 게임 이면서 채광(Mine)과 제작(Craft)을 하는 게임으로 알려졌으며 모든 것이 네모난 블록으로 이루어진 세계에서 혼자 혹은 여럿이 생존하면서 건축, 사냥, 농사, 채집, PvP, 회로 설계, 또는 직접 게임을 제작하는 등 정해진 목표 없이 자유롭게 즐길 수 있는 게임입니다. 해당 게임 중 Minecraft Java Edition(마인크래프트 자바 에디션)에서 최근 디렉터리 탐색 부분에 취약점이 발견되어서 보안 업데이트가 진행이 되었습니다. 해당 취약점은 CVE-2021-35054 이면 영향을 받는 시스템은 마인크래프트 1.17 및 이전 버전입니다.
해당 기술은 다음과 같습니다.
소프트웨어는 외부 입력을 사용하여 제한된 상위 디렉터리 아래에 있는 파일이나 디렉터리를 식별하기 위한 경로 이름을 구성하지만, 소프트웨어는 경로 이름이 제한된 디렉터리 밖에 존재합니다. 많은 파일 작업은 제한된 디렉터리 내에서 발생하게 되어 있습니다. ".." 및 "/" 구분 기호와 같은 특수 요소를 사용하여 공격자는 제한된 위치 외부로 탈출하여 시스템의 다른 곳에 있는 파일이나 디렉터리에 접근할 수 있으며 많은 프로그래밍 언어에서 null 바이트(0 또는 NUL)를 삽입하면 공격자가 생성된 파일 이름을 잘라 공격 범위를 확장할 수가 잇습니다. 예를 들어 소프트웨어는 모든 경로 이름에 ".txt"를 추가하여 공격자를 텍스트 파일로 제한할 수 있지만, null 주입은 이 제한을 효과적으로 제거할 수 있습니다.

Minecraft (마인크래프트)

아무튼, 해당 취약점인 CVE-2021-35054 을 악용을 할 경우 Minecraft Java Edition(마인크래프트 자바 에디션) 을 사용하는 시스템의 임의의 JSON 파일은 공격자에 의해 삭제할 수 있습니다.
해결 방법: 개발자가 제공한 정보에 따라 Minecraft를 최신 버전으로 갱신 진행 개발자는 취약점을 수정하고 1.17.1 시험판 1(1.17.1-pre)을 출시
업데이트를 하면 취약점을 완화할 수가 있습니다.
Spigot
Minecraft 1.16.5
Minecraft 1.17
Forge
Minecraft 1.15.2
Minecraft 1.16.5
Minecraft Java Edition(마인크래프트 자바 판)을 하시는 분들은 반드시 업데이틀 하시고 게임을 하시길 바랍니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band