AI 연구자들이 발견한 2년 전 GNU Savannah 취약점, FSF가 패치

출처: Slashdot

The Free Software Foundation의 GNU Savannah은 수천 개의 자유 소프트웨어 프로젝트를 호스팅하고 있으며, 이는 GNU 및 비GNU 프로젝트(드루팔 포함)를 모두 담고 있습니다.

하지만 5월 초, Hacktron.AI의 보안 연구자들은 취약점을 보고하고 이를 실제로 증명하는 데 성공했으며, 이에 대해 FSF(Free Software Foundation)는 새로운 금요일에 발표한 진술에서 언급했습니다.

이 연구자들은 초기 보고 이후부터 우리와 협력해 왔으며, 추가적인 보안 문제를 제출한 경우 이를 해결했습니다. 모든 보고된 문제는 GNU 및 FSF 자원봉사자와 FSF 직원들의 노력 덕분에 해결되었습니다.

철저한 검토를 진행한 결과, 민감한 프로젝트 데이터나 인증 정보가 유출된 증거는 발견되지 않았으며, Savannah의 소프트웨어 공급망도 침해되지 않은 것으로 판단했습니다.

그럼에도 불구하고, GNU 시스템의 보안, 이를 가능하게 만드는 도구, 그리고 호스팅하는 프로젝트에 대해 매우 심각하게 받아들이고 있습니다. 이 소프트웨어는 전 세계 수억(가능하면 수천억) 명의 사용자에게 필수적인 것이 되었으며, 이에 따라 추가적인 예방 조치를 취하고 있습니다.

초기 보안 문제는 5월 초에 우리에게 보고되었지만, 취약점은 해당 소프트웨어가 약 두 년 전에 공개된 것을 발견한 것입니다. 우리는 직접 Savannah 호스팅 프로젝트와 함께 보안을 검토하고 강화할 수 있는 단계를 논의할 예정입니다.

또한 우리가 인식하고 있는 다른 Savannah 인스턴스와도 소통하여 그들의 자체 환경을 검토하도록 지원하고, 사용자 보호를 위한 필요한 조치를 취할 예정입니다.

이 진술은 초기 알림을 목적으로 하고 있으며, 향후 30일 이내에 사건에 대한 보고서를 발표할 예정입니다.

Hacktron.AI는 자신을 “보안용 AI 팀메이트”라 설명하고 있으며, 웹 페이지에는 메타(Meta), DeepMind, Perplexity가 투자자로는 포함되어 있음을 밝히고 있습니다.