저자: 노엘 데이비스(Noel Davis), 역 송종범
최신 유닉스와 오픈소스 보안 자문 정보를 제공하는 이 칼럼에 오신 여러분을 환영하는 바이다. 이번 컬럼에서 우리는 Pine 메일 클라이언트, Mutt의 버퍼 오버플로우,
awhttpd, 그리고 BOOZT! Standard, Stunnel의 문제, Linux encrypted Loop Back device 장치, Rwhoisd, Exim,
gpm, Mailman을 조망해보도록 하겠다.
Pine
Pine을 실행하는 유저의 퍼미션으로 임의적인 명령을 실행해 원격 사용자에 의해서 악용될 수 있는 Pine의 URL취급 코드에 취약점이 있다고 알려졌으며 특정 환경 하에서는 웜형태 공격의 일부로 사용되기도 한다. 이 취약점은 엄격하게는 Pine을 실행하는 사용자의 습관으로 인해 다양하게 발생한다. 따라서 사용자는 Pine 안에서부터 URL을 보아야 한다. 4.21과 4.33 버전이 취약하다고 알려져 있지만, 4.43까지 모든 버전이 취약하다고 의심되어진다.
Stunnel
Stunnel, 서버나 클라이언트로 사용될 수 있는 SSL 래퍼는 유저가 SMTP, POP나 NNTP 클라이언트 교섭을 사용할 경우 공격자가 Stunnel를 실행하는 퍼미션을 가진 코드를 실행하는 포맷 스트링 버그가 있다. 3.15부터 3.21까지의 Stunnel이 특히 취약한 것으로 보고되었다.
해당 유저는 가능한 한 3.22나 그 이상의 버전으로 업데이트하기를 추천한다. Stunnel은 비권한 사용자로 -s 옵션을 사용하거나 비특권 유저로 시작할 때 실행된다.
Encrypted Loop Back Device
리눅스 하에서 암호화된 루프백 디바이스는 탐지되지 않고 로컬 공격자에 의해 디바이스에 저장된 데이터를 변형하는데 사용되어질 수 있음이 알려졌다. 이 점을 이용하려면 로컬 공격자는 파일 시스템에 쓰기가 가능한 유닉스 파일 시스템 퍼미션이 있어야 하며 역시 루트나 일반 유저로 쓰기 접근을 가지고 있어야 한다. 공격은 서비스 거부 공격처럼 암호화된 데이터 변조나 암호 키를 복구하기 위해 사용될 수 있는 정보를 얻기 위해 공격이 사용될 수 있다.
암호화된 루프백 디바이스 유저는 공격자가 디스크를 마운트하고 공격으로부터 암호화 되지 않은 정보를 읽어야 함을 명심해 두어야 한다. 그렇지만 이것이 다른 형탱의 공격으로부터 완벽하게 보호 받지 않는다는 것을 알아두어야 한다.
Rwhoisd
Rwhois 데몬은 네트워크 솔루션사가 개발했다. 이것은 특정 환경하에서 Rwhois를 실행 하는 유저의 퍼미션으로 원격 공격자가 임의의 코드를 실행함으로써 발생하며 포맷 스트링 취약성이 있다. 변수
use-syslog는 공격자가 이러한 취약성을 사용하기 전에 디폴트 값인
YES로 설정되어야한다.
네트워크 솔루션의 Rwhoisd 유저는 변수
use-syslog를
NO로 설정하고 업데이트된 데몬을 항상 주시해야 한다.
EXIM
EXIM 메시지 전송 에이전트는 버그가 있다. 이때 버그는 어떤 환경아래서든지 EXIM을 실행할 수 있는 유저의 퍼미션으로 공격자가 임의의 코드를 사용하여 발생한다. 로컬 주소 확인없이 파이크로 에세지가 전송되는 방법으로 EXIM이 설정되어져 있지 않는 한 버그는 이용될 수 없다. 이런 형태로 설정된 예를 들자면 모든 메일이 바이러스 탐지기로 연결되어 있다는 것이다.
EXIM을 사용하는 유저는 가능한 한 버전 3.34나 3.952 또는 더 새로운 버전으로 업데이트 할 것을 추천한다.
Mutt
Mutt는 인기있는 메일 패키지로 원격 공격자에 의해 Mutt의 실행권한을 가진 자가 임의적인 코드를 실행하여 악용될 수 있는 버퍼 오버플로우가 있다. 버퍼 오버플로우는 Mutt의 주소 처리 코드안에 있다.
Mutt 관리자는 유저들이 Mutt 버전 1.2.5의 최신 베타 버전으로 갱신할 것을 추천하고 있다. 또는 베타 버전 만큼 버그들을 잡아내지는 못하지만 버퍼 오버플로우를 수정할 수 있는 Mutt의 최신 안정 버전인 버전 1.2.5.1로 업데이트 할 것을 권장한다.
gpm
gmp패키지와 함께 배포되는 설정 유저 아이디 루트
gpm-root 애플리케이션은 루트 접근을 얻는데 악용될 포맷 스트링에서의 취약점이 있다.
포캣 스트링 취약성은 1.17.8-18.1에서 수저되었으며 가능한 한 유저는 갱신할 것을 추천한다. 갱신할 필요가 없다면 갱신될때까지 설정 유저 아이디 비트를
gpm-root에서 제거해야 한다.
awhttpd
awhttpd는 안전하고 견고하게 쓰여진 깔끔한 단일 프로세스 웹 서버이다.
awhttpd의 초기 버전은
awhttpd 실행권을 가진자에 의해 임의의 코드가 실행될 수도 있었으며 로컬 서비스 거부 취약성이나 버퍼 오버플로우를 포함하여 많은 취약점들을 가지고 있었다.
awhttpd의 유저들은 가능한 한 버전 2.2.1이나 그 이상의 새버전으로 갱신해야 한다.
Mailman
Mailman은 메일링 리스트 관리자이다. 다른 Mailman 유저로부터 개인적인 정보를 얻거나 유저의 인증 쿠키에 대한 접근을 가능한 얻기 위해 공격자에 의하여 악용될 수 있는 사이트에 상관없는 스크립팅 버그를 갖고 있다.
Mailman 사용자는 버전 2.0.8 이상으로 갱신할 것을 추천하는 바이다.
BOOZT! Standard
BOOZT!Standard 배너 광고 관리 시스템은 웹 서버를 실행하고 있는 유저와 마찬가지로 임의적인 코드를 실행하는 원격 공격자에 의해 악용될 수 있는 버퍼 오버플로우를 가지고 있다. 그러나 이 문제가 BOOZT! Premium 제품에 어떤 영향을 미치는 가는 역시 알려진바 없다.
BOOZT! Standard와 Premium 유저는 모두 버퍼 오버플로우를 고칠 수 있는 패치나 업데이트를 위해 Bootz!에 접속해야 하며, 어떤 호스트가 방화벽으로 막고 있는 제품에 BOOZT!로 접속할 수 있는지 제한하는 것도 고려해야 한다.
노엘 데이비스(Noel Davis)는 유닉스 시스템 관리자로 리눅스 사용 경험은 6년이 넘었으며 5년 여간 시스템 관리자로 일하고 있다.