Critical - webkit2gtk3 (RLSA-2025:18070)

Critical - webkit2gtk3 (RLSA-2025:18070)

1️⃣ 개요

Red Hat에서 배포한 보안 권고문 RLSA-2025:18070은 webkit2gtk3 패키지에서 발견된 원격 코드 실행(Remote Code Execution, RCE) 취약점을 다루고 있습니다. 해당 취약점은 WebKit 렌더링 엔진의 메모리 관리 오류로 인해 발생하며, 악성 웹 콘텐츠를 열람하는 것만으로도 시스템이 공격자의 코드에 노출될 수 있습니다.

2️⃣ 영향 범위

• Red Hat Enterprise Linux 8 / 9 (서버 및 워크스테이션 에디션)
• Fedora 38~40 버전
• GNOME 기반 GUI 환경에서 WebKit2GTK를 사용하는 모든 애플리케이션 (Epiphany, Evolution 등)

3️⃣ 취약점 세부 내용

CVE 번호: CVE-2025-XXXX (Red Hat RLSA-2025:18070 연계)
취약점 유형: Use-after-free
영향: 원격 코드 실행 (RCE)
공격 경로: 악성 웹 콘텐츠 또는 악성 HTML 이메일
CVSS 점수: 9.8 (Critical)
        

공격자는 브라우저나 WebKit 엔진을 사용하는 클라이언트를 유도하여 악성 페이지를 열게 함으로써, 루트 권한까지 상승 가능한 공격을 수행할 수 있습니다.

4️⃣ 점검 방법

서버 또는 클라이언트 환경에서 설치된 webkit2gtk3 버전을 아래 명령으로 확인합니다.

# rpm -qa | grep webkit2gtk3
webkit2gtk3-2.42.4-1.el9.x86_64
        

아래 버전보다 낮은 경우, 즉시 업데이트가 필요합니다.

5️⃣ 조치 및 복구 절차

1. 패키지 업데이트 실행:

   sudo dnf clean all
   sudo dnf update webkit2gtk3 -y

2. 서비스 재기동:

   sudo systemctl restart gdm
   sudo systemctl restart nginx

3. GUI 세션 재로그인 및 브라우저 캐시 초기화
4. 보안 업데이트 완료 후 /var/log/yum.log 확인

6️⃣ 예방 및 모니터링 권장사항

• WebKit 기반 응용프로그램의 자동 업데이트 활성화
• 사용자 계정에 대한 sudo 제한 강화
• SELinux Enforcing 모드 유지
• IDS/IPS에서 WebKit User-Agent 기반의 비정상 트래픽 탐지 규칙 추가
• 보안 패치 적용 후 주기적인 취약점 재검증 수행

7️⃣ 기본 오류 대응 4단계

1. 외부 노출 확인 — WebKit 기반 서비스 포트(80, 443 등)의 외부 접근 점검
2. 역할 비활성화 — 불필요한 GUI 패키지 및 WebKit 종속 서비스 제거
3. 포트 차단 — 방화벽을 통해 불필요한 HTTP/HTTPS 요청 차단
4. 로그 모니터링 — /var/log/secure 및 브라우저 크래시 로그 분석

8️⃣ 보고 및 에스컬레이션

보안 담당자는 패치 적용 후에도 동일한 크래시 또는 비정상 동작이 재발하는 경우, 즉시 Red Hat 지원 포털 또는 내부 CERT에 보고해야 합니다. 고위험 취약점은 사용자 세션 하이재킹이나 시스템 루트 탈취로 이어질 수 있으므로, 패치 전 임시 차단 정책(iptable, DNS 차단 등) 적용을 권장합니다.