mythos에서 발표한 모듈 / 앤트로픽에서 보고된 취약점 대상 모듈 리스트
아래 목록은 Anthropic CVD 대시보드 스냅샷(기준일: 2026-05-22)의 프로젝트 집계 기준으로, 요청하신 15개 모듈을 “심각도(건수)”와 “CVE 공개 여부”로 정리한 운영용 체크 문서다.
개요
Mythos 기반 CVD 공개는 “발견 → 검증 → 유지보수자 통지 → 공개(창 닫힘)” 흐름으로 진행되며, 프로젝트별로 공개 식별자(CVE)가 붙은 케이스와, 수정은 되었지만 CVE가 아직 없는 케이스가 함께 존재한다.
대응 우선순위는 “우리 서비스에 포함 여부” → “외부 노출/입력 처리 여부” → “CVE 공개로 패치 가능 여부” 순서로 잡는 게 안정적이다.
CVE가 없는 항목은 ‘안전’이 아니라 ‘추적이 더 필요’한 상태로 보는 게 맞다.
환경
- 대상: CraftCMS, GitoxideLabs/gitoxide, ImageMagick, MapServer, TryGhost/Ghost, freerdp, jq, junrar, libyang, mastodon, minio, nginx, nomad, temporalio/temporal, wolfSSL
- 운영 관점 분류: 웹/CMS(공격면 큼), 인프라/네트워크(광범위), 암호/TLS(치명도 높음), 파일/미디어 처리(입력 기반), DevOps/오케스트레이션(권한 상승/제어면)
- 목표: 영향도 판별 → 긴급 조치(패치/완화) → 재발 방지(표준화/모니터링/거버넌스)
증상
이 문서는 특정 에러 로그(장애 코드)를 다루기보다, “취약점 대상 모듈이 우리 환경에 포함될 때” 운영 위험이 어떻게 표면화되는지를 다룬다. 일반적으로 아래 형태로 나타난다.
- SCA/취약점 스캐너에서 CVE가 있는 모듈(예: nginx, wolfSSL, nomad, temporal, jq)이 탐지되어 조치 요청 발생
- CVE가 없는 모듈은 “취약점은 보고됐는데 도구에 안 잡히는” 공백이 생겨 수동 추적이 필요해짐
- 외부 입력을 처리하는 모듈(ImageMagick, CMS, RDP 등)은 “미패치 + 노출” 조합에서 사고로 연결되기 쉬움
1차 점검
1) 포함 여부 확인(가장 먼저)
- 서버 패키지: OS 패키지 목록(apt/yum/apk)에서 설치/버전 확인
- 컨테이너: 이미지 태그 + SBOM(CycloneDX/SPDX) + 레이어 내 바이너리 확인
- 애플리케이션 의존성: composer/npm/go mod/cargo/helm chart 등 잠금 파일 기준으로 확인
2) 노출면(Exposure) 우선순위 결정
운영팀 우선순위 체크
- 인터넷 노출: 외부에서 직접 접근 가능한가(80/443, API, 관리자 콘솔, RDP 게이트웨이 등)
- 외부 입력 처리: 업로드/파싱/변환(이미지, 압축파일, JSON/YAML, 지도/타일 등)이 있는가
- 권한 영향: 인증 우회/권한 상승/원격 코드 실행 가능성이 있는가
- 업데이트 난이도: 패치 창/롤백/호환성 부담이 큰가(코어 인프라일수록 계획 필요)
심화 분석
요청 모듈 15종 리스트(2026-05-22 스냅샷 기준)
| 모듈(프로젝트) | 심각도(공개 건수) | CVE 공개 여부 | 운영 메모 |
|---|---|---|---|
| CraftCMS | High 1 | 미공개(표기된 CVE 없음) | 퍼블릭 CMS면 우선순위 상향(관리자/템플릿/업로드 계열 대비) |
| GitoxideLabs/gitoxide | High 1 | 미공개(표기된 CVE 없음) | 빌드/CI 경로 포함 여부 확인(공급망 관점으로 점검) |
| ImageMagick | High 1 | 미공개(표기된 CVE 없음) | 이미지 업로드/변환이 있으면 즉시 완화(포맷 제한/샌드박스/리소스 제한) |
| MapServer | Medium 1 | CVE-2026-33721 | GIS/지도 서비스 노출 여부 확인(요청 파라미터/파일 파싱 경로 점검) |
| TryGhost/Ghost | Critical 1 | 미공개(표기된 CVE 없음) | 콘텐츠 API/필터 입력 계열이면 즉시 차단/패치 계획 수립 |
| freerdp | High 2, Medium 1 | CVE-2026-44420, CVE-2026-45700 | 원격 데스크톱 경로 포함 시 영향 큼(게이트웨이/클라이언트 번들 여부 확인) |
| jq | Medium 1 | CVE-2026-32316 | 운영 스크립트/CI에 흔함(비신뢰 입력 처리 여부 점검) |
| junrar | Medium 1 | 미공개(표기된 CVE 없음) | 압축파일 처리 경로 점검(업로드/첨부/배치 처리) |
| libyang | Medium 1 | 미공개(표기된 CVE 없음) | YANG/NETCONF 계열 파싱에 영향(네트워크 장비 연동 경로 확인) |
| mastodon | High 2 | CVE-2026-46348, CVE-2026-46349 | 연합(Federation)/서명 검증/JSON-LD 처리면은 노출면 큼 |
| minio | Medium 1 | 미공개(표기된 CVE 없음) | S3 호환 스토리지면 권한/정책/외부 노출 여부가 핵심 |
| nginx | Critical 1, High 1 | CVE-2026-27654 | 에지/리버스프록시라 영향 범위가 매우 큼(즉시 버전 매칭) |
| nomad | Critical 1 | CVE-2026-7474 | 오케스트레이션/스케줄러는 권한 영향이 크므로 우선순위 상향 |
| temporalio/temporal | Critical 1 | CVE-2026-5199 | 워크플로 엔진은 내부 권한/토큰/메타데이터 경로 점검 필요 |
| wolfSSL | High 7, Medium 2 |
CVE-2026-5446, CVE-2026-5447, CVE-2026-5448, CVE-2026-5466, CVE-2026-5477, CVE-2026-5479, CVE-2026-5500, CVE-2026-5501, CVE-2026-5503 |
TLS/암호 라이브러리는 “광범위 영향 + 고난도 확인”이라 SBOM 기반 확인이 중요 |
CVE가 “없는” 항목은 취약점이 없다는 의미가 아니다.
대시보드 공개 시점에는 수정이 반영됐더라도, 식별자(CVE/GHSA)가 아직 미발급/미공개일 수 있다.
복구
1) CVE 공개 항목: 버전 매칭 → 패치가 기본
nginx, wolfSSL, nomad, temporal, jq, mastodon, freerdp, MapServer는 CVE가 공개되어 있으므로 현재 사용 버전이 영향권인지를 먼저 확인하고, 영향권이면 패치 버전으로 업그레이드하는 것이 기본 전략이다.
2) CVE 미공개 항목: “패치 커밋/릴리즈” 추적 + 임시 완화
CraftCMS, gitoxide, ImageMagick, Ghost, junrar, libyang, minio는 CVE가 표기되지 않은 상태다. 운영 환경에서는 아래처럼 접근하는 게 안전하다.
- 업스트림 릴리즈 확인: 보안 수정이 포함된 버전이 있는지 릴리즈 노트 중심으로 확인
- 노출면 최소화: 외부 노출을 줄이고, 관리자 경로/IP 제한, WAF 룰, 인증 강화
- 입력 제한: 업로드/파싱 기능이 있다면 포맷/크기/빈도 제한
3) 즉시 적용 가능한 완화 예시(운영 실전)
빠른 완화 체크
- ImageMagick: 변환 대상 포맷 제한 + 리소스 제한(메모리/시간/픽셀) + 변환 프로세스 격리
- CMS(Ghost/CraftCMS): 관리자 경로 IP 제한 + 2FA/강한 세션 정책 + 업로드 MIME/확장자 제한
- minio: 퍼블릭 버킷/익명 정책 제거 + 외부 노출 최소화 + 관리자 콘솔 접근 통제
- freerdp: 사용 범위 축소(필요 서버만) + 원격 입력 경로 분리 + 업데이트 창 확보
재발 방지
1) SBOM 기반 “포함 여부”를 자동화
라이브러리(예: wolfSSL)나 내부 번들(예: freerdp, jq)은 운영자가 “설치 여부를 감으로” 찾기 어렵다. 빌드/배포 단계에서 SBOM을 생성하고, 배포된 아티팩트 기준으로 추적 가능해야 한다.
2) 외부 입력 처리 모듈은 격리(샌드박스) 기본
미디어/압축/파서 계열(ImageMagick, junrar, libyang 등)은 “취약점이 나올 수밖에 없는 클래스”다. 운영 환경에서는 프로세스 격리와 리소스 제한이 기본 체력이다.
3) 패치 창 운영(정기 + 긴급) 표준화
- 정기 패치: 월간/격주 창으로 꾸준히 끌어올리기
- 긴급 패치: Critical/High는 별도 프로세스로 빠르게 반영
- 롤백 전략: 프록시/암호/오케스트레이션 같은 핵심 컴포넌트는 롤백 시나리오를 문서화
이 리스트의 핵심은 “취약점이 보고된 프로젝트”를 정확히 알고, 우리 환경의 포함 여부를 빠르게 판별해
CVE 공개 항목은 즉시 패치, 미공개 항목은 추적 + 완화로 공백을 줄이는 것이다.
한 번에 정리
- 대상 모듈: 요청 15종(웹/CMS, 인프라, 암호, 파서/미디어 처리 포함)
- CVE 공개(즉시 패치 루트): wolfSSL, freerdp, mastodon, nginx, MapServer, jq, nomad, temporal
- CVE 미공개(추적+완화 루트): CraftCMS, gitoxide, ImageMagick, Ghost, junrar, libyang, minio
- 운영 우선순위: 외부 노출 + 입력 처리 + 권한 영향(인증 우회/권한 상승) 조합이 최상위
- 재발 방지: SBOM 자동화 + 입력 처리 격리 + 패치 창 표준화
'지식 공유 > ETC' 카테고리의 다른 글
| SI 프로젝트 포지션 한눈에 이해하기 (0) | 2026.05.27 |
|---|---|
| SI 프로젝트에서 TA 역할과 사전 준비 체크리스트 (0) | 2026.05.27 |
| CentOS·RockyOS·Windows 기본 암호화 알고리즘과 현재 기준 안전 목록 (0) | 2026.05.27 |
| Linux 사설 SSL 인증서 작업에서 자주 발생하는 오류와 해결 방법 (0) | 2026.03.01 |
| Linux 서버에서 SSL 사설 인증서 만들고 적용·검증하는 방법 (0) | 2026.03.01 |