DLL 검색 경로 및 심볼릭 링크 관련 취약점
DLL 검색 경로 및 심볼릭 링크 관련 취약점
DLL 검색 경로 및 심볼릭 링크 관련 취약점
Lenovo 보안 권고: LEN-27431
잠재적 영향: 권한 상승
중요도: 보통
해당 범위: Lenovo에 한정
CVE 식별자: CVE-2019-6173, CVE-2019-6196
개요:
DLL 검색 경로 및 심볼릭 링크 관련 취약점으로 인하여 일부 Lenovo 설치 패키지에서 권한 상승을 허용할 수 있습니다(설치 과정 중에만 해당). 이미 설치된 소프트웨어는 본 취약점이 없습니다.
CVE-2019-6173: DLL 검색 경로 취약점으로 인하여 관리자 권한을 이미 보유한 공격자에게 일부 Lenovo 설치 패키지의 설치 과정에서 권한 상승을 허용할 수 있습니다.
CVE-2019-6196: 심볼릭 링크 취약점으로 인하여 일부 Lenovo 설치 패키지의 파일 추출 및 설치 과정에서 권한이 설정된 파일을 실행하도록 허용할 수 있습니다.
.
취약점 완화 전략(시스템을 보호하려면 반드시 수행해 주십시오):
참고: 이 취약점은 오직 소프트웨어 설치 과정 중에만 존재합니다. 소프트웨어 설치 중이 아니라면 본 문제에 해당되지 않습니다.
이러한 취약점을 완화하기 위해서 Lenovo는 Lenovo Vantage(밴티지), Lenovo System Update(시스템 업데이트) 또는 Windows Update를 통해 Lenovo 소프트웨어 업데이트를 설치할 것을 권장합니다. Update Retriever(업데이트 리트리버), Thin Installer(씬 인스톨러) 및 System Update(시스템 업데이트) 또한 취약점의 영향을 받지 않습니다.
직접 빌드한 자동 업데이트 스크립트의 취약점을 완화하고자 하는 시스템 관리자는 여기를 클릭하여 권장 절차를 확인해 주십시오.
언제나 강조하듯이 잠재적 공격자가 관리자 권한을 획득하지 않도록 하기 위해서는 사용자가 안티 바이러스 소프트웨어를 업데이트하고 안전한 인터넷 연결을 사용하며 확인되지 않은 링크 또는 웹페이지를 클릭하지 않는 등 적절한 보안 지침에 따라 스스로를 보호하는 것이 좋습니다.
감사의 말:
Lenovo는 본 문제를 보고해 준 CyberArk Labs의 Eran Shimony에게 감사의 말을 전합니다.
참조 문서:
인스톨러 패치 소스 코드: https://github.com/lenovoinc/issrc/tree/DLL_Injection_TempDir_fix
개정 내역:
개정 | 날짜 | 내용 |
---|---|---|
1 | 2020-01-14 | 최초 배포 |
Lenovo 모든 제품의 전체 보안 권고 목록을 보려면 이곳을 클릭해 주십시오.
최신 정보를 제공받으려면 Lenovo에서 배포하는 귀하의 장치 및 소프트웨어 관련 업데이트와 권고를 최신 상태로 유지해 주십시오. 본 권고에 명시된 정보는 어떤 종류의 보증이나 약속 없이 '있는 그대로' 제공됩니다. Lenovo는 본 권고의 내용을 언제든지 변경하거나 갱신할 권리가 있습니다.
귀하의 의견은 사이트 개선하는 데 도움이 됩니다.