GHSA-J9WF-6R2X-HQMX: Centrifugo v6.6.0: 공급망 트로이 목마

Source: Dev.to

Overview

전통적인 공급망 침해 사례로, Centrifugo 실시간 메시징 서버에 영향을 미칩니다. v6.6.0 버전은 취약한 서드파티 Go 의존성을 포함하고 있어, 중요한 결함이 빌드 아티팩트에 직접 삽입되었습니다. 이 권고문은 현대 Go 애플리케이션에서 전이 의존성의 위험성을 강조합니다. 하나의 오래된 패키지만으로도 안전한 요새가 카드 집처럼 무너질 수 있습니다.

Vulnerability Details

• Vulnerability ID: GHSA-J9WF-6R2X-HQMX
• CVSS v3.1 Score: 6.5 (Medium)
• Published: 2026‑02‑19
• Attack Vector: Network (Remote)
• Impact: 서비스 거부 / 잠재적 원격 코드 실행
• Affected Component: 서드파티 Go 의존성 (net, protobuf)
• CWE ID: CWE‑1395

Affected Versions

• Centrifugo Server: v6.6.0 (v6.6.1에서 수정)
• Go import path: github.com/centrifugal/centrifugo/v6 버전 v6.6.0

Remediation Steps

1. Stop 현재 실행 중인 Centrifugo 인스턴스를 중지합니다.
2. Update 버전 v6.6.1 이상으로 업데이트합니다:
   • v6.6.1 바이너리를 다운로드 또는 centrifugo/centrifugo:v6.6.1 Docker 이미지를 풀합니다.
   • centrifugo version 명령으로 버전을 확인합니다.
3. Restart 서비스를 재시작합니다.

Dependency Updates

go.mod 파일에서 취약한 의존성을 올리고 다시 빌드합니다:

module github.com/your/project

go 1.22

require (
    github.com/centrifugal/centrifugo/v6 v6.6.1 // upgraded
    // other dependencies...
)

Additional Hardening

• CI/CD 파이프라인에 자동 의존성 스캔을 구현합니다(예: govulncheck, Trivy).
• WAF 또는 로드밸런서를 사용해 Centrifugo 서비스에 대한 네트워크 접근을 제한하고, 상류에서 잘못된 HTTP/2 또는 WebSocket 프레임을 필터링합니다.

References

• GitHub Advisory Database – GHSA-J9WF-6R2X-HQMX
• 인터랙티브 다이어그램 및 익스플로잇 분석이 포함된 전체 보고서(권고문 웹사이트에서 확인 가능).