사고/사건
CVE-2026-42485 / CVE-2026-37536: 차량 UDS 진단 라이브러리(uds-c) 연쇄 버퍼 오버플로우 — ARM ECU 원격코드실행 위험
보도일: 2026년 5월 (CVE 공개)|수집일: 2026년 5월 7일
요약
오픈소스 UDS(Unified Diagnostic Services) C 라이브러리에서 send_diagnostic_request 함수의 스택 버퍼 오버플로우 취약점 2건이 연이어 공개. 32비트 ARM 기반 차량 ECU에서 원격코드실행 가능.
본문
2026년 5월, 차량 진단 통신 프로토콜(UDS) 구현체인 오픈소스 라이브러리 miaofng/uds-c에서 2건의 스택 버퍼 오버플로우 취약점이 연달아 공개되었다. CVE-2026-42485와 CVE-2026-37536 모두 send_diagnostic_request 함수에서 6바이트 크기의 스택 버퍼에 최대 7바이트를 복사하는 과정에서 발생하며, 스택 카나리(stack canary)가 미사용되는 32비트 ARM 기반 차량 ECU 환경에서 리턴 주소를 덮어써 원격 코드 실행이 가능할 수 있다. 이 라이브러리는 Automotive Grade Linux(AGL)의 agl-service-can-low-level 컴포넌트에서 사용되며, 차량 OBD-II 포트를 통한 CAN 버스 진단 통신에 활용된다. AGL을 채택한 차량이나 해당 라이브러리를 직접 사용하는 애프터마켓 진단 도구가 영향을 받을 수 있다.
시사점
오픈소스 차량 소프트웨어 라이브러리의 보안 취약점이 ECU 수준의 침해로 이어질 수 있음을 보여주는 사례이다. SBOM(Software Bill of Materials) 관리를 통해 차량 소프트웨어 스택에 포함된 오픈소스 컴포넌트를 식별하고, CVE 모니터링을 CSMS 운영 절차에 통합해야 한다. ISO/SAE 21434의 지속적 사이버보안 활동(cybersecurity monitoring) 요구사항과 직결된다.