GHSA-GQ83-8Q7Q-9HFX: GHSA-GQ83-8Q7Q-9HFX: OpenClaw Sandbox 레지스트리의 레이스 컨디션으로 인한 데이터 손상

Source: Dev.to

개요

• 취약점 ID: GHSA-GQ83-8Q7Q-9HFX
• CVSS 점수: 6.6 (중간)
• 공개일: 2026-03-03
• 패치 날짜: 2026-02-18

OpenClaw 2026.2.18 이전 버전에는 샌드박스 레지스트리 관리 시스템에 레이스 컨디션이 존재합니다. 이 결함은 containers.json 및 browsers.json 레지스트리 파일의 읽기‑수정‑쓰기 사이클 중 보안되지 않은 파일 처리 작업에서 발생합니다. 레지스트리 항목을 동시에 업데이트하거나 제거하려 할 때 업데이트 손실, 상태 비동기화, 혹은 레지스트리 데이터 전체가 잘리는 현상이 발생할 수 있으며, 그 결과 고동시성 환경에서 고아 컨테이너와 리소스 누수가 발생합니다.

기술적 세부 사항

• CWE ID: CWE-362 (Race Condition)
• 관련 CWE: CWE-367 (TOCTOU)
• 공격 벡터: 네트워크
• 무결성 영향: 높음
• 가용성 영향: 낮음

레이스 컨디션으로 인해 동시 쓰기가 샌드박스 추적 데이터를 손상하거나 삭제할 수 있습니다. 이 문제는 2026.2.18에 파일 잠금 및 원자적 쓰기 작업을 도입함으로써 패치되었습니다.

영향

• 샌드박스 레지스트리 데이터(containers.json, browsers.json) 손상 또는 손실.
• 고아 Docker 컨테이너가 발생하여 리소스 누수.
• 다수의 동시 에이전트 작업이 있는 환경에서 서비스 거부(DoS) 가능성.

완화 방안

• 업데이트: OpenClaw를 2026.2.18 이상 버전으로 업그레이드하십시오.
• 프로젝트를 포크하는 경우, 모든 레지스트리 I/O에 파일 잠금 메커니즘을 구현하십시오.
• 즉시 패치를 적용할 수 없는 경우, 에이전트 작업의 동시성을 줄이십시오.

복구 단계

1. 중지 모든 실행 중인 OpenClaw 에이전트 인스턴스.

2. 최신 저장소 버전을 pull 하거나 패키지 의존성을 2026.2.18 로 업데이트.

3. node_modules가 새로운 잠금 의존성을 반영하도록 업데이트되었는지 확인.

4. 재시작 OpenClaw 서비스를.

5. sandbox list 명령을 실행하여 레지스트리 무결성을 확인.

6. 손상이 발생한 경우, 다음 명령을 사용해 고아 Docker 컨테이너를 수동으로 정리:

   docker ps
   docker rm 

참고 자료

• BSI Security Bulletin (German) – 상세 보고서 및 인터랙티브 다이어그램.
• GHSA‑GQ83‑8Q7Q‑9HFX – 공식 advisory.