불과 몇 주 사이에 보안 권고가 쏟아지고 있다. 하지만 NetBSD 자체에 문제가 있는 경우는 많지 않고, 상당수가 NetBSD에 포함된 외부 프로그램이나 라이브러리로 인한 것들이다. 새로 발표된 NetBSD 보안 권고 2009-008과 2009-009는 모두 OpenSSL의 취약점에 관한 것이다. 이 중에서 2009-009는 외부 공격자가 시스템의 메모리를 소진시켜버릴 수 있기 때문에, 사용자들만 특별히 악의를 품지 않는다면 별 문제가 없는 2009-008에 비해 심각한 취약점이다.
2009-008은 5.0 사용자나 3월 27일 이후의 -current 사용자에게는 해당이 없고, 4.0 사용자는 7월 4일 이후의 소스로 업데이트해야 한다. 2009-009는 모든 NetBSD 버젼에 해당되므로, 바로 7월 4일 이후의 소스로 업데이트할 것을 권한다.
갑자기 NetBSD 보안팀이 바빠진 모양이다. 불과 며칠 전 네 개의 보안
권고를
발표한 데에 이어, 또 다시 세 개를
추가로
내어 놓았다. 이 중 가장 중요한 것은 SSH에 관한 첫 번째 보안
권고로,
SSH를 통해 접속하더라도 일부 내용이 노출될 수 있는
결함에
대한 대응책이다. NetBSD-current에서는 지난 6월 8일에 이 문제가 없는
OpenSSH 5.2로 갱신했으므로 그 이후에 시스템을 갱신했다면 별 문제가
없다. 4.0.1과 5.0은 모두 6월 30일 이후의 브랜치로 갱신할 것을 권한다.
갱신이 여의치 않은 환경이라면 위험 수준을 최대한 낮출 수 있는 방법을
써야한다. SSH 통신이 문제가 되는 것은 CBC를 썼을 때이므로, CBC의 우선
순위를 최하위로 조정해주면 비교적 안전하다. 방법은 다음 줄을
sshd_config와 ssh_config에 추가하면 된다.
Ciphers aes128-ctr,aes256-ctr,arcfour256,arcfour,aes128-cbc,aes256-cbc
다른 두 개의 보안 권고는 ntp와 hack에 관한 것인데, 시스템을 갱신해서 SSH 문제를 고칠 예정이라면(가장 바람직한 선택) 이 두 가지 문제도 함께 사라지므로 염려하지 않아도 된다.