NetBSD 공작소

이번 보안 권고도 NetBSD의 외부 프로그램에 대한 것이다. NetBSD에는 ISC의 DHCP 써버와 클라이언트가 들어 있는데, 그 중 클라이언트에 문제가 있어서 외부 DHCP 써버에서 임의의 코드를 루트 권한으로 실행시키는 것이 가능하다는 것이다. 대부분의 노트북 컴퓨터의 경우 무조건 무선으로 DHCP 써버에 접속해서 IP 주소를 받아오도록 설정되어 있는 경우가 많으므로, 공공장소에서 누군가 악의를 품고 DHCP 써버를 직접 돌릴 가능성을 배제할 수 없다. 이 문제를 고치려면 NetBSD-current는 6월 25일, NetBSD 5와 4는 7월 14일 이후의 소스로 갱신해야 한다.

보다 나은 방법은 아예 ISC의 DHCP 클라이언트를 사용하지 않는 것이다. 물론 그렇다고해서 DHCP로 IP 주소를 받지 말라는 것은 아니다. NetBSD에는 DHCP 클라이언트가 하나 더 있다. Roy Marples씨가 만든 dhcpcd인데, 지난 4월 말에 -current에 포함되었다. ISC의 클라이언트와 비교해서 가볍고 꼭 필요한 기능만을 포함하고 있다. /etc/rc.conf에 dhclient 대신 dhcpcd를 넣으면 된다.

pkgsrc의 라텍 패키지로 한글 문서를 조판하려면 print/tex-hlatex이나 print/tex-dhucs를 써야 했다. 하지만 두 패키지 모두 사실상 개발이 중단된 상태이다보니, 한글 TeX 사용자 그룹이나 한국텍학회를 통해 계속되어 온 한글 조판 노력들이 반영되지 못하였다. 이 두 패키지를 통합하여 개발을 지속하고 있는 ko.TeX은 나온지가 2년이 되었지만, 아직 pkgsrc에는 포함되지 않고 있어서, 직접 설치해서 쓰려면 번거로움이 많았는데, 이번에 pkgsrc의 텍라이브 패키지를 대거 갱신하는 김에 print/tex-kotex 패키지로 만들어 넣었다. 색인 만들기 등에 쓰이는 유틸리티들은 아직 패키지로 만들지 않았지만, 글꼴과 라텍 스타일은 모두 포함하고 있으므로, 기본적인 한글 문서를 조판하는데에는 무리가 없을 것이다.

지난달에 이미 pkgsrc가 동결에 들어간 탓에 2009Q2에는 포함되지 못했지만, 2009Q3에는 포함될 예정이다. 물론 pkgsrc-current를 쓰는 경우라면 바로 tex-kotex을 설치할 수 있다.

불과 몇 주 사이에 보안 권고가 쏟아지고 있다. 하지만 NetBSD 자체에 문제가 있는 경우는 많지 않고, 상당수가 NetBSD에 포함된 외부 프로그램이나 라이브러리로 인한 것들이다. 새로 발표된 NetBSD 보안 권고 2009-008과 2009-009는 모두 OpenSSL의 취약점에 관한 것이다. 이 중에서 2009-009는 외부 공격자가 시스템의 메모리를 소진시켜버릴 수 있기 때문에, 사용자들만 특별히 악의를 품지 않는다면 별 문제가 없는 2009-008에 비해 심각한 취약점이다.

2009-008은 5.0 사용자나 3월 27일 이후의 -current 사용자에게는 해당이 없고, 4.0 사용자는 7월 4일 이후의 소스로 업데이트해야 한다. 2009-009는 모든 NetBSD 버젼에 해당되므로, 바로 7월 4일 이후의 소스로 업데이트할 것을 권한다.

갑자기 NetBSD 보안팀이 바빠진 모양이다. 불과 며칠 전 네 개의 보안 권고를 발표한 데에 이어, 또 다시 세 개를 추가로 내어 놓았다. 이 중 가장 중요한 것은 SSH에 관한 첫 번째 보안 권고로, SSH를 통해 접속하더라도 일부 내용이 노출될 수 있는 결함에 대한 대응책이다. NetBSD-current에서는 지난 6월 8일에 이 문제가 없는 OpenSSH 5.2로 갱신했으므로 그 이후에 시스템을 갱신했다면 별 문제가 없다. 4.0.1과 5.0은 모두 6월 30일 이후의 브랜치로 갱신할 것을 권한다. 갱신이 여의치 않은 환경이라면 위험 수준을 최대한 낮출 수 있는 방법을 써야한다. SSH 통신이 문제가 되는 것은 CBC를 썼을 때이므로, CBC의 우선 순위를 최하위로 조정해주면 비교적 안전하다. 방법은 다음 줄을 sshd_config와 ssh_config에 추가하면 된다.

Ciphers aes128-ctr,aes256-ctr,arcfour256,arcfour,aes128-cbc,aes256-cbc

다른 두 개의 보안 권고는 ntp와 hack에 관한 것인데, 시스템을 갱신해서 SSH 문제를 고칠 예정이라면(가장 바람직한 선택) 이 두 가지 문제도 함께 사라지므로 염려하지 않아도 된다.

이더넷으로 패킷을 보내 컴퓨터를 켤 수 있는 Wake-on-LAN(WoL) 기능을 NetBSD에서는 간단한 명령 하나로 실행할 수 있게 되었다. Marc Balmer씨가 최근 추가한 wake(1) 명령은 인자로 주어진 인터페이스로 WoL 패킷을 보낸다. 물론 WoL 패킷을 받을 컴퓨터의 이더넷 주소를 직접 지정하는 것도 가능하다. 자세한 설명은 매뉴얼을 참조하기 바란다.

아마도 이 글을 읽는 분들 중에는 Marc Balmer라는 이름이 익숙한 분들이 많을 것이다. Balmer씨는 OpenBSD와 X.Org 프로젝트에 활발히 기여해 온 개발자로, 최근 NetBSD 프로젝트에 합류했다. 새로 추가한 wake(1) 명령은 몸풀기용 첫작품 정도로 보면 될 것이다. 앞으로 Balmer씨가 NetBSD 프로젝트에 어떤 참신한 기능들을 추가할 것인지 기대된다.