오퍼링 > 소프트웨어 테크놀로지 서비스 > 오픈소스 SW > OS > 자료실

오픈소스 SW 자료실 - OS

오픈소스 OS 관련 기술서비스 정보 및 자료를 제공합니다.

Redhat Enterprise Linux 의 Packge 정보

2021.02.25

Q1. Red Hat OS 제품은 어떤 방식으로 Packge Update 를 제공 하나요?


-> Red Hat enterprise Linux 는 시스템별 Life Cycle 에 따른 Package Update 를 제공 합니다.
OS 버전별 자세한 정보는 "참조 문서 (1)" 를 참고 부탁 드립니다.

 

Q2. kernel.org , Openssl.org 등 오픈소스 홈페이지에서 최신 Package 를 다운받아 설치 하면 되나요?


-> REHL OS에서도 최신 PKG 를 사용 하실 수 있으나, 가능한 Redhat 에서 제공 되는 Packge 를 설치하여 사용 하시는 것을 권고 드립니다.
Redhat 에서는 Backporting 이라는 과정을 거친 이후 Package 를 제공합니다.

* Backporting 이란?
Packge 의 보안 취약점이 발견 되면, 취약점에 대한 수정 및 보완 된 최신 Packge를 각  Opensource 공식 홈페이지에서 제공됩니다.
Redhat 에서는 해당 Packge 를 확인하여, Redhat 제품 군의 시스템 환경에 맞게 수정 및 변경을 합니다. 이 과정을 Backporting "참조문서 (2)" 이라 하며, Redhat 에서는 Backporting pkg 만을 기술 지원 드리고 있습니다.

 

Q3. 꼭 Packge Update 를 해야 하나요?


-> 현재 사용 하시는 시스템의 특이사항이 없다면, Patch 에 대한 중요성이 크게 와닿지 않으실 수 있습니다.
Redhat 에서 제공하는 errata 에서는 확인 된 Bug,  예상 되는 Bug, 중요한 보안 취약점 등 실시간으로 확인 및 Update 가 되고 있습니다.
가능한 앞으로 발생 될 수 있는 문제들을 더욱 최소화 하기 위하여 최신 Packge 로 Update 하시는 것을 검토 하셔야 합니다.

 

Q4. 시스템에서 사용 되는 Packge 의 보안 취약점(CVE)을 어떻게 확인하나요?


-> Redhat 공식 홈페이지에서 조치 된 Packge 버전들에 또는 현재 진행 상황에 대해서 확인 하실 수 있으며 "참조 문서 (3)", 시스템에서도 명령어를 이용하여 확인이 가능합니다.
Redhat 에서 배포 되는 Packge 의 버전이 공식 홈페이지에서의 버전과 상이하며 "참조문서 (4)", 다른 이유는 Redhat 에서 해당 Packge 를 별도로 관리 하는 규칙으로 버전명만으로 보안 취약점을 Patch 했다고 판단 하시면 안됩니다.
CVE 를 확인하는 방법이 가장 확실한 방법입니다.

-> CVE 이란 ? (Common Vulnerabilities and Exposures)
공개적으로 확인 된 시스템 보안 취약점 List 들에 대한 지칭하는 단어 입니다.

-> CVE 확인 하는 방법
Redhat 에서 제공 드리는 Packge 별 CVE 보안 취약점을 보완한 제품인지 확인 방법입니다.
CVE 정보가 확인 되는 경우 보안 취약점을 보완한 제품으로, CVE 가 검색 되지 않는 경우 해당 보완 취약점에 대한 Patch 가 되지 않은 제품으로 확인 하실 수 있습니다.
# rpm -q --changelog <package_name> | grep <CVE-Number>

예 :

CVE 확인 하는 방법

 

 

Q5. Redhat 에서 제공 되는 보안 취약점은 어떻게 관리 되나요?


-> Redhat 에서는 PKG 보안 취약점 관련 등급을 크게 4개의 유형으로 분류하여 "참조문서 (5)" 제공 드리고 있습니다. ( 그 외 Redhat 제품군에 해당 되지 않은 경우 None 표기 )

1) Low : 보안 취약점 관련하여 해당 기능을 악용하여도 그 영향이 미미한 경우 해당 등급으로 분류 됩니다.
2) Moderate : 보안 취약점 관련하여 심각한 영향을 줄 수 있으나, 기술적 근거로 악용하기 위해 기술적 사용이 어려울 것으로 확인 된 경우 해당 등급으로 표기.
3) Important : 보안 취약점 관련하여 로컬 사용자가 권한을 얻거나 인증/미인증 된 원격 사용자가 인증이 필요한 정보 및 코드를 시행 하여 서비스 공격을 하는 경우 해당 등급으로 표기.
4) Critical : 보안 취약점 관련하여 미인증 원격 공격자가 쉽게 악용하여 시스템 손상을 주는 경우 해당 등급으로 표기.

 

Q6. 이슈가 되어 확인 해 봐야 할 보안 취약점은 어떤 것들이 있나요?


-> Redhat 의 RHEL 제품 군들에 대하여 영향도 와 중요도가 높은 List 들은 첨부 파일 참고 부탁 드립니다. (2021-02-25 기준)

2021-02-25_Score_보안취약점_Patch_List

--------------------------------------------------------------------------------------------------------------------

* 참조 문서

(1) https://access.redhat.com/support/policy/updates/errata
(2) https://access.redhat.com/security/updates/backporting
(3) https://access.redhat.com/security/security-updates/#/
(4) https://access.redhat.com/solutions/57665
(5) https://access.redhat.com/ko/security/updates/classification

 
목록