IT/모바일
저자: 노엘 데이비스(Noel Davis)
보안 경고 칼럼에 오신 여러분을 환영하는 바이다. 본 기사는 최신 유닉스, 오픈 소스 보안 권고에 대해 간략하게 소개하는 칼럼이다. 본 기사에서는 새로 출시된 아파치를 간략하게 살펴보고 fileutils, coreutil, anonftp, Kpopup, CUPS, Libnids, PostgreSQL, thttpd, mod_security, Linux Java Installer에서의 문제점들을 살펴볼 것이다.
아파치 새 버전에서는 두 가지 보안 문제가 해결되었다. 스레드된 MPM가 사용될 때, mod_cgid 모듈은 CGI 애플리케이션의 출력을 잘못된 클라이언트로 전송할 수 있다. mod_alias와 mod_rewrite 모듈이 버퍼 오버플로우를 포함하고 있기 때문이다. 이 버퍼 오버플로우는 9개 이상의 캡쳐를 포함하고 있는 정규 표현식이 배열될 때 로컬 유저에 의해 악용될 소지가 있다.
따라서 사용자들은 아파치 2.0.48로 업그레이드 할 것을 권고하는 바이다.
fileutils와 coreutils
fileutils와 coreutils 패키지로 분류된 ls 명령은 특정 명령라인 파라미터와 함께 사용될 때 DoS(서비스 거부) 공격에 사용될 소지가 있다. 또한 명령라인 파라미터를 다루는 코드 내에 버퍼 오버플로우를 가지고 있으며, 이는 악용되지는 않을 것이라고 보고되었다. 그렇지만 wu-ftp와 같은 애플리케이션을 통해 원격으로 악용될 소지는 충분히 있다.
따라서 사용자들은 벤더가 fileutils와 coreutils 패키지를 업데이트 하는지에 관심을 두어야 한다. 레드햇 리눅스 7.1, 7.2, 7.3 및 8.0과 Conectiva 리눅스 7.0, 8, 9는 업데이트된 패키지를 내놓았다.
anonftp
anonftp 패키지는 ls 명령을 포함하고 있다. 이는 fileutils와 coreutils 패키지 내의 ls 명령이 포함하고 있는 것과 똑같은 문제라고 할 수 있다. anonftp 따라서 anonftp 사용자들은 모두 벤더가 업데이트된 버전을 출시하는지 주의를 기울여야 한다. Conectiva 리눅스 7.0, 8, 9는 anonftp를 업데이트 하였다.
Kpopup
마이크로소프트 윈도우 WinPopup 메시지를 주고 받는데 사용되는 애플리케이션 Kpopup은 루트 셸을 획득하려는 로컬 공격자에 의해 악용될 소지가 있다. Kpopup은 killall 명령을 호출하기 위해 system() 함수를 사용하고 set user id root를 설치한다고 보고되었다. killall 이라고 이름 붙여진 악용 스크립트를 생성하고 Kpopup을 실행하기 위해 패스를 조작함으로써 공격자는 Kpopup이 루트 퍼미션으로 스크립트를 악용할 수 있도록 해준다. 이러한 취약점 악용을 자동화하는 스크립트가 나왔다.
따라서 Kpopup 기능을 사용하지 않는 사람 중에 패치나 업데이트를 하지 않았다면 set user id 혹은 set user id 퍼미션을 제거해야 한다. 그리고 사용자들은 벤더들이 수정된 버전을 출시하는지 주의를 기울여야 한다.
CUPS
프린팅 시스템 CUPS는 IPP (Internet Printing Protocol) 코드에 버그가 있다. 이 코드는 프린터 데몬 내에서 DoS를 야기시키는 원격 공격자에 의해 사용될 수 있다.
따라서 CUPS 사용자들은 수정된 버전으로 업그레이드 하거나 벤더들이 업데이트된 패키지를 내놓는지 주의를 기울여야 한다. 레드햇에서는 레드햇 리눅스 8.0, 9에 업데이트된 패키지를 출시했다. 만약 시스템이 CUPS를 사용하지 않는다면 CUPS를 사용할 수 없는 상태로 만들어 놓거나 시스템에서 제거하는 것까지도 고려해 보아야 할 것이다.
Libnids
Libnids는 네트워크 침입 감지 컴포넌트로서 리눅스 2.0.x대의 IP 스택을 에뮬레이트하고 IP 디스크 조각 모으기(defragmentation), TCP 스트림 어셈블리, TCP 포트 스캔 감지와 같은 것들을 제공한다. Libnids는 코드 내에 버퍼 오버플로우가 포함되어 있는데, 이 코드는 특정 조건 하에서 루트 퍼미션으로 코드 실행에 악용될 수 있는 패킷 리어셈블리를 다룬다.
따라서 Libnids 사용자들은 모두 버전 1.18로 업그레이드 하거나 가능한 한 빨리 새로운 버전으로 업그레이드 해야 한다. Libnids 1.18을 포함하고 있는 패킷으로는 Conectiva 리눅스 7.0, 8, 9가 출시되었다.
PostgreSQL
PostgreSQL 데이터베이스는 함수 호출로 된 to_ascii() 집합을 포함하고 있는 코드 내에 버퍼 오버플로우 취약점을 가지고 있다. 이 함수 호출은 데이터베이스가 실행되고 있을 때 퍼미션으로 중재 코드를 실행시키는 원격 공격자에 의해 사용된다.
따라서 이 데이터베이스를 사용하는 사람들은 PostgreSQL 버전 7.3.4로 업그레이드 하거나 가능한 한 빨리 벤더로부터 패키지를 수정해야 한다. OpenPKG 프로젝트와 Conectiva 리눅스는 수정된 패키지를 출시했다.
thttpd
thttpd에서 버퍼 오버플로우 및 정보 유출 취약성이 발견되었다. thttpd는 빠르고 안전하게 설계된 작은 웹 서버이다. 버퍼 오버플로우는 원격적으로 촉발될 수는 있으나 악용될 수는 없는 것으로 예상된다. 정보 유츌 버그는 가상 호스팅을 다루는 코드 내에 있다. 이 버그는 원격 공격자가 thttpd를 실행하고 있는 있는 유저 계정을 읽을 수 있는 시스템에 있는 어떤 파일도 읽을 수 있도록 허용한다.
따라서 사용자들은 이러한 문제점들을 수정한 업데이트된 버전을 벤더들이 내놓았는지 살펴보고 있어야 한다. 수세(SuSE)에서는 수세 리눅스 7.3, 8.0, 8.1, 8.2, 9.0의 수정 패키지를 출시했다.
mod_security
아파치 2에 있는 mod_security는 sec_filter_out() 함수 내의 버퍼 오버플로우에 취약점이 있다고 보고되었다. 이 함수는 특정 조건 하에서 아파치를 실행하는 퍼미션으로 코드를 실행하는 원격 공격자에 의해 악용될 수 있다. 그리고 원격 공격자는 이 공격이 성공할 수 있기 전에 스크립트를 서버에 업로딩하는 메소드를 가지고 있어야 한다.
따라서 사용자들은 가능한 한 빨리 mod_security의 버전을 1.7.2로 업그레이드 해야 한다.
Linux Java Installer
리눅스에서 썬의 JRE/JDK를 설치하는데 사용되는 설치 프로그램은 몇몇 심볼릭-링크 레이스 상태(symbolic-link race conditions)에 취약한 것으로 보고되었다. 이 상태는 거의 대부분의 경우 루트 퍼미션으로 시스템에 중재 파일을 오버라이트하는 로컬 공격자에 의해 사용될 수 있다. 이 문제는 바이너리 인스톨러와 RPM-기반 설치 모두에 영향을 미치는 것으로 보고되었다.
따라서 멀티유저 머신의 경우, 머신을 단일-유저 모드로 맞춰놓는 것이 현명할 수도 있겠다. 그리고 설치 시작 전에 /tmp/.mailcap1, /tmp/.mime.types1, /tmp/unpack.log과 같은 파일을 위해 /tmp 디렉토리의 내용을 체크하는 것이 좋다.
노엘 데이비스(Noel Davis)는 유닉스 시스템 관리자이다. 6년 전부터 리눅스를 사용했으며 시스템 관리자로서의 경력은 5년이 넘는다.
보안 경고 칼럼에 오신 여러분을 환영하는 바이다. 본 기사는 최신 유닉스, 오픈 소스 보안 권고에 대해 간략하게 소개하는 칼럼이다. 본 기사에서는 새로 출시된 아파치를 간략하게 살펴보고 fileutils, coreutil, anonftp, Kpopup, CUPS, Libnids, PostgreSQL, thttpd, mod_security, Linux Java Installer에서의 문제점들을 살펴볼 것이다.
- Apache 2.0.48
- fileutils와 coreutils
- anonftp
- Kpopup
- CUPS
- Libnids
- PostgreSQL
- thttpd
- mod_security
- Linux Java Installer
아파치 새 버전에서는 두 가지 보안 문제가 해결되었다. 스레드된 MPM가 사용될 때, mod_cgid 모듈은 CGI 애플리케이션의 출력을 잘못된 클라이언트로 전송할 수 있다. mod_alias와 mod_rewrite 모듈이 버퍼 오버플로우를 포함하고 있기 때문이다. 이 버퍼 오버플로우는 9개 이상의 캡쳐를 포함하고 있는 정규 표현식이 배열될 때 로컬 유저에 의해 악용될 소지가 있다.
따라서 사용자들은 아파치 2.0.48로 업그레이드 할 것을 권고하는 바이다.
fileutils와 coreutils
fileutils와 coreutils 패키지로 분류된 ls 명령은 특정 명령라인 파라미터와 함께 사용될 때 DoS(서비스 거부) 공격에 사용될 소지가 있다. 또한 명령라인 파라미터를 다루는 코드 내에 버퍼 오버플로우를 가지고 있으며, 이는 악용되지는 않을 것이라고 보고되었다. 그렇지만 wu-ftp와 같은 애플리케이션을 통해 원격으로 악용될 소지는 충분히 있다.
따라서 사용자들은 벤더가 fileutils와 coreutils 패키지를 업데이트 하는지에 관심을 두어야 한다. 레드햇 리눅스 7.1, 7.2, 7.3 및 8.0과 Conectiva 리눅스 7.0, 8, 9는 업데이트된 패키지를 내놓았다.
|
참고 도서 Linux Security Cookbook |
anonftp
anonftp 패키지는 ls 명령을 포함하고 있다. 이는 fileutils와 coreutils 패키지 내의 ls 명령이 포함하고 있는 것과 똑같은 문제라고 할 수 있다. anonftp 따라서 anonftp 사용자들은 모두 벤더가 업데이트된 버전을 출시하는지 주의를 기울여야 한다. Conectiva 리눅스 7.0, 8, 9는 anonftp를 업데이트 하였다.
Kpopup
마이크로소프트 윈도우 WinPopup 메시지를 주고 받는데 사용되는 애플리케이션 Kpopup은 루트 셸을 획득하려는 로컬 공격자에 의해 악용될 소지가 있다. Kpopup은 killall 명령을 호출하기 위해 system() 함수를 사용하고 set user id root를 설치한다고 보고되었다. killall 이라고 이름 붙여진 악용 스크립트를 생성하고 Kpopup을 실행하기 위해 패스를 조작함으로써 공격자는 Kpopup이 루트 퍼미션으로 스크립트를 악용할 수 있도록 해준다. 이러한 취약점 악용을 자동화하는 스크립트가 나왔다.
따라서 Kpopup 기능을 사용하지 않는 사람 중에 패치나 업데이트를 하지 않았다면 set user id 혹은 set user id 퍼미션을 제거해야 한다. 그리고 사용자들은 벤더들이 수정된 버전을 출시하는지 주의를 기울여야 한다.
CUPS
프린팅 시스템 CUPS는 IPP (Internet Printing Protocol) 코드에 버그가 있다. 이 코드는 프린터 데몬 내에서 DoS를 야기시키는 원격 공격자에 의해 사용될 수 있다.
따라서 CUPS 사용자들은 수정된 버전으로 업그레이드 하거나 벤더들이 업데이트된 패키지를 내놓는지 주의를 기울여야 한다. 레드햇에서는 레드햇 리눅스 8.0, 9에 업데이트된 패키지를 출시했다. 만약 시스템이 CUPS를 사용하지 않는다면 CUPS를 사용할 수 없는 상태로 만들어 놓거나 시스템에서 제거하는 것까지도 고려해 보아야 할 것이다.
Libnids
Libnids는 네트워크 침입 감지 컴포넌트로서 리눅스 2.0.x대의 IP 스택을 에뮬레이트하고 IP 디스크 조각 모으기(defragmentation), TCP 스트림 어셈블리, TCP 포트 스캔 감지와 같은 것들을 제공한다. Libnids는 코드 내에 버퍼 오버플로우가 포함되어 있는데, 이 코드는 특정 조건 하에서 루트 퍼미션으로 코드 실행에 악용될 수 있는 패킷 리어셈블리를 다룬다.
따라서 Libnids 사용자들은 모두 버전 1.18로 업그레이드 하거나 가능한 한 빨리 새로운 버전으로 업그레이드 해야 한다. Libnids 1.18을 포함하고 있는 패킷으로는 Conectiva 리눅스 7.0, 8, 9가 출시되었다.
PostgreSQL
PostgreSQL 데이터베이스는 함수 호출로 된 to_ascii() 집합을 포함하고 있는 코드 내에 버퍼 오버플로우 취약점을 가지고 있다. 이 함수 호출은 데이터베이스가 실행되고 있을 때 퍼미션으로 중재 코드를 실행시키는 원격 공격자에 의해 사용된다.
따라서 이 데이터베이스를 사용하는 사람들은 PostgreSQL 버전 7.3.4로 업그레이드 하거나 가능한 한 빨리 벤더로부터 패키지를 수정해야 한다. OpenPKG 프로젝트와 Conectiva 리눅스는 수정된 패키지를 출시했다.
thttpd
thttpd에서 버퍼 오버플로우 및 정보 유출 취약성이 발견되었다. thttpd는 빠르고 안전하게 설계된 작은 웹 서버이다. 버퍼 오버플로우는 원격적으로 촉발될 수는 있으나 악용될 수는 없는 것으로 예상된다. 정보 유츌 버그는 가상 호스팅을 다루는 코드 내에 있다. 이 버그는 원격 공격자가 thttpd를 실행하고 있는 있는 유저 계정을 읽을 수 있는 시스템에 있는 어떤 파일도 읽을 수 있도록 허용한다.
따라서 사용자들은 이러한 문제점들을 수정한 업데이트된 버전을 벤더들이 내놓았는지 살펴보고 있어야 한다. 수세(SuSE)에서는 수세 리눅스 7.3, 8.0, 8.1, 8.2, 9.0의 수정 패키지를 출시했다.
mod_security
아파치 2에 있는 mod_security는 sec_filter_out() 함수 내의 버퍼 오버플로우에 취약점이 있다고 보고되었다. 이 함수는 특정 조건 하에서 아파치를 실행하는 퍼미션으로 코드를 실행하는 원격 공격자에 의해 악용될 수 있다. 그리고 원격 공격자는 이 공격이 성공할 수 있기 전에 스크립트를 서버에 업로딩하는 메소드를 가지고 있어야 한다.
따라서 사용자들은 가능한 한 빨리 mod_security의 버전을 1.7.2로 업그레이드 해야 한다.
Linux Java Installer
리눅스에서 썬의 JRE/JDK를 설치하는데 사용되는 설치 프로그램은 몇몇 심볼릭-링크 레이스 상태(symbolic-link race conditions)에 취약한 것으로 보고되었다. 이 상태는 거의 대부분의 경우 루트 퍼미션으로 시스템에 중재 파일을 오버라이트하는 로컬 공격자에 의해 사용될 수 있다. 이 문제는 바이너리 인스톨러와 RPM-기반 설치 모두에 영향을 미치는 것으로 보고되었다.
따라서 멀티유저 머신의 경우, 머신을 단일-유저 모드로 맞춰놓는 것이 현명할 수도 있겠다. 그리고 설치 시작 전에 /tmp/.mailcap1, /tmp/.mime.types1, /tmp/unpack.log과 같은 파일을 위해 /tmp 디렉토리의 내용을 체크하는 것이 좋다.
노엘 데이비스(Noel Davis)는 유닉스 시스템 관리자이다. 6년 전부터 리눅스를 사용했으며 시스템 관리자로서의 경력은 5년이 넘는다.
TAG :
이전 글 : 자리를 옮기기로 결심한 귀도(Guido van Rossum)
다음 글 : 완전 제품으로서의 오픈 소스
최신 콘텐츠