아침에 일찍 출근해서 즐거운 마음으로 메일을 보고 있는데
갑자기 웬 PR이 우수수 올라와서 봤더니, 파이썬 보안 권고가 발표되었으니
얼른 포트를 고치라는 것이었습니다.;
난데없는 파이썬 보안 권고라니.. 지금까지는 파이썬은 메모리가 마구
덮어 씌워지는 보안 버그도 은근 슬쩍 잘 넘어갔는데 무슨 소리~ 하고 확인을
했는데, 정말로 이제 귀도가 보안 회사에 다니더니만 보안 버그에 대한 보안
권고문을 발표하기 시작해서 이번 SimpleXMLRPCServer 보안 버그에PSF-2005-001이라는 폼나는 번호까지
할당해서 발표를 한 것이었습니다.;;
이번 보안 버그는 SimpleXMLRPCServer의 룩업 함수에서 .이 포함된 함수 이름으로
검색하는 것을 허용하다보니 함수 아래의 파이썬 내부적 속성들을 접근해서
결국 os.system에도 접근할 수 있게 되는 버그인데, 당연히 SimpleXMLRPC를
안 쓰는 프로그램은 적용되지 않습니다.
지금까지는 그런대로 보안 버그와는 관련 없는 포트만 관리해서
VuXML업데이트하는 귀찮은 일에서
어느 정도 멀리 있었는데, PR로 VuXML업데이트 하라고 해서 이제 핸드북
보고 VuXML 쓰는 방법에 대해서 공부도 하고 –; 흑흑.~ 아침에 몰래
좀 봐서 일단엔트리를 작성하기는 했습니다마는.. 포트도 같이 업데이트를
해야해서 오후는 돼야 커밋할 수 있을 것 같군용~
사실 아직portaudit을
써 본적이 한 번도 없었는데 (부끄. *^^*;;;;;)
이번에 시험하면서 써 보니까 괜찮네요…;; (보안 버그 37개를 찾아 주는;;)
SimpleXMLRPCServer 쓰는 사람이야 뭐 별로 없으니까 큰 영향은 안 미칠
것 같지만, 이제라도 파이썬 보안 권고가 체계가 잡히고 해서, 든든하군요. 🙂