Oracle가 분기 패치를 버렸다 — 월간 CSPU 체제의 시작

Oracle이 20년 넘게 유지한 분기 Critical Patch Update에 더해, 매달 셋째 화요일 Critical Security Patch Update(CSPU)를 발행하기 시작했다. 첫 CSPU는 5월 28일, CVE 35건. 왜 분기에서 월간으로 갔는지를 AI 시대의 취약점 발견 속도와 DBA 관점에서 본다.

2026년 6월 1일

DirtyDecrypt — Linux 커널 rxgk 모듈의 COW 가드 누락, DoS로 등록된 CVE 안에 숨어 있던 root LPE

CVE-2026-31635는 NVD에 CVSS 7.5의 DoS로 올라 있지만, Zellic·V12 보안팀의 PoC가 같은 함수의 같은 결함으로 결정론적 root LPE를 끌어냈다. rxgk_decrypt_skb()에서 빠진 COW 가드 한 줄 덕분에 페이지 캐시 공유 페이지가 그대로 쓰기 대상이 된다. Dirty COW·Dirty Pipe·Copy Fail 계보의 네 번째 결함이고, Fedora·Arch·openSUSE Tumbleweed 운영자는 지금 6.19.13/6.18.23으로 올린다.

2026년 5월 21일

NGINX Rift (CVE-2026-42945) — 18년 묵은 rewrite 모듈 한 줄로 워커가 무너지는 힙 오버플로우

2008년에 들어간 NGINX 스크립트 엔진의 두 단계 길이 계산 버그가 PCRE 이름 없는 캡처와 물음표 한 글자가 만나는 자리에서 힙 오버플로우로 터진다. 비인증 공격자가 HTTP 요청 한 번으로 워커를 무너뜨리고, ASLR이 꺼져 있으면 그대로 RCE다. 0.6.27 이후 모든 NGINX, NGINX Plus R32~R36이 영향권이고 패치는 1.30.1·1.31.0과 NGINX Plus R36 P4/R32 P6.

2026년 5월 21일

ClaudeBleed — Claude for Chrome Extension, origin만 믿다가 권한 0짜리 Extension에 탈취된 신뢰

Claude for Chrome v1.0.69 이하가 externally_connectable을 origin만으로 신뢰해, 권한 없는 다른 Extension이 content script 한 장으로 Gmail/Drive를 다룬다. 5월 6일 v1.0.70 패치는 3시간 만에 우회 경로가 확인됐고, 5월 13일 현재까지 근본 원인은 그대로다.

2026년 5월 13일

Copy Fail (CVE-2026-31431) — 732바이트 파이썬 한 장으로 root를 따는 커널 버그

2017년에 들어간 algif_aead 인-플레이스 최적화 한 줄이 splice·AF_ALG와 만나 페이지 캐시에 임의의 4바이트를 쓰는 결정론적 LPE가 된다. Dirty COW·Dirty Pipe와 달리 race가 없고 첫 시도에 그대로 성공한다. 어제 공개된 Copy Fail의 구조와 운영자가 지금 해야 할 일.

2026년 4월 30일