인기 오픈소스 스캐너 ‘누클리’에서 취약점 발견... 업데이트 필수
- then00n
- 2월 4일
- 1분 분량
누클리는 YAML 기반 템플릿을 사용해 웹 애플리케이션, 인프라, 클라우드 플랫폼, 네트워크 등의 보안 취약점을 자동으로 탐지하는 도구다. 프로젝트디스커버리(ProjectDiscovery)에서 개발한 이 도구는 전 세계 보안 전문가와 기업에서 널리 사용되고 있다.
취약점의 원인 및 기술적 분석
해당 스캐너에서 발견된 취약점은 누클리 서명 검증(Signature Verification) 및 YAML 파서(Parser) 간의 처리 불일치에서 비롯된 결함이다. CVSS 기준 7.8점을 받았다. 취약점을 발견한 클라우드 보안 기업 ‘위즈(Wiz)’에 따르면 누클리의 서명 검증 시스템과 YAML 파서가 줄 바꿈 문자(, 캐리지 리턴)를 다르게 해석하는 데서 기인했다.
Comentarios