문제점: FreeSWITCH의 XMLRPC 라이브러리에서 HTTP 요청 핸들러가 4096바이트 스택 변수에 임의 길이의 URI를 기록함. 이는 공격자가 4096자 이상의 URI를 보낼 수 있어 버퍼 오버플로우가 발생할 수 있는 취약점임. 해결 방법: snprintf()를 사용하여 방어적 C 프로그래밍을 적용해야 함. 2025-01-27: FreeSWITCH의 보안 정책에 명시된 이메일 주소로 취약점 세부사항을 전송함. 2025-02-07: 후속 이메일을 보내 보고서를 받았는지 확인함. 응답: Andrey Volk가 취약점이 최근 수정되었다고 답변함. 그러나 새로운 보안 수정 버전이 태그되지 않았음. 문제의 원인: 통신 시스템 보안에 투자할 경제적 인센티브가 부족함. 이는 통신 보안이 오늘날에도 여전히 취약한 이유임. 미래의 가능성: Rust로 FreeSWITCH 경쟁 제품을 개발하거나, 미국의 통신 인프라 보안에 투자할 정치적 의지가 생길 수 있음.
통신 스택의 취약성
FreeSWITCH의 XMLRPC 라이브러리에서의 버퍼 오버플로우
Soatok의 취약점 공개 시도
발생한 문제
통신 보안의 체계적 문제
마무리 생각