메뉴 바로가기 검색 및 카테고리 바로가기 본문 바로가기

한빛출판네트워크

IT/모바일

보안 경보 트로이안 네트워킹 도구

한빛미디어

|

2002-09-13

|

by HANBIT

12,180

저자: 노엘 데이비스(Noel Davis), 역 서성용

최신 유닉스와 오픈 소스 보안 권고와 관련된 정보를 제공하는 보안 경고 칼럼에 오신 여러분을 환영하는 바이다. 이번 칼럼에서는 trojaned 네트워킹 도구들 및 OpenSSH의 새로운 버전에 대해 살펴본 뒤 fetchmail, mnews, 데비안 솔라리스 Netstd, Informix, BannerWheel 에서의 버퍼 오버플로우를 살펴볼 것이다. 이밖에도 dhcpd, 센드메일(Sendmail), 솔라리스의 rwalld, FreeBSD의 rc에서의 문제점도 살펴볼 것이다. fetchmail

fetchmail은 이메일을 긁어오고 포워딩하는데 매우 유용한 클라이언트이지만 버퍼 오버플로우에 취약하다. 이 버퍼 오버플로우는 5.9.10 이전 버전의 fetchmail에 영향을 미치는 것으로 보고되었다.

사용자들은 가능한 빨리 fetchmail을 5.9.10 이상의 최신버전으로 업그레이드해야 한다. 레드햇 과 맨드레이크는 이 문제를 해결한 업데이트된 패키지를 발표했다.

Trojaned 네트워킹 도구

2002년 5월 17일에 monkey.org에 있는 dsniff-2.3, fragroute-1.2, fragrouter-1.6 tar 파일들이 트로이안 백 도어 코드(trojan back door code)를 포함한 버전으로 바꿔치기 되었다. 이 사실은 일주일이 지나서야 발견되어 복구되었다. monkey.org는 보안을 향상하기 위한 조치를 취했고 최신 OpenBSD 릴리즈를 설치했다.

만약 이 기간동안에 이 패키지중의 하나라도 다운받은 사람은 그 패키지를 사용하지 말아야 하고, 만약 설치했다면 새로운 버전으로 교체하기 바란다. 또한 이 기간에 다운로드한 버전을 사용하고 있는 경우에는 자신의 시스템이 크랙당했는지(cracked)에 대한 징후를 세심하게 검사해야 한다.

dhcpd

dhcpd는 동적 호스트 설정 프로토콜(DHCP : Dynamic Host Configuration Protocol)을 지원하는 대몬이다. 형식 문자열(format string) 기반의 공격에 취약하며 원격 공격자에 의해 dhcpd를 실행중인 사용자의 권한으로 (보통 root) 명령을 실행할 수 있다. 형식 문자열 취약점은 DNS 업데이트 기능을 담당하는 부분의 코드에 있다. 수세 리눅스에는 dhcpd가 기본적으로 설치되지는 않지만, 따로 설치를 했다면 root로 실행될 것이다. 맨드레이크 리눅스에서는 dhcp 사용자로 실행되는 버전 8.x 이하를 제외하고는 대몬이 root로 실행된다.

해당 사용자들은 가능한 빨리 최신의 dhcpd 패키지로 업그레이드해야 한다. 사용자들은 아래와 같은 라인을 dhcpd 설정 파일에 추가해줌으로써 dhcpd에서 DNS update 기능을 비활성화 할 수 있다.
ddns-update-style none;
ddns-updates off;
맨드레이크와 수세는 업데이트된 DHCP 패키지를 발표했다.

OpenSSH 3.2.3

OpenSSH 3.2.3 버전이 발표되었다. 이 버전은 OpenBSD와 BSD/OS 시스템에서 Yellow Pages를 사용할 때 발생하는 문제점을 수정했다. 이 문제는 특정 조건에서 인증과정시에 다른 사용자의 데이터베이스 엔트리가 사용되는 것을 말하는데 새로운 버전에서는 접근이 금지된 사용자가 로그인 할 수 있게 되고, 허가받은 사용자는 로그인 할 수 없게 했다. 또한 이 릴리즈에서는 솔라리스에서의 login/ttys 문제와 Sygwin 시스템에서의 빌드 문제를 해결했다.

센드메일(Sendmail)

센드메일은 flock()이나 fcntl() 파일 잠금에서의 문제를 사용한 서비스 거부 공격(dos : denial of service)에 취약하다. 이 취약점은 센드메일에 의해 사용되는 파일들을 열고(open) 잠그는(lock) 로컬 사용자에 의해 dos 공격에 악용될 수 있다. 파일을 잠금으로써 dos 공격을 유발하는 사용자는 lsof와 같은 도구을 사용함으로써 알아낼 수 있다. 센드메일에 대한 dos 공격에서 사용될 수 있는 파일로는 aliases, maps, statistics, pid 파일 등이 있다.

사용자들은 파일 허가권을 수정함으로써 시스템의 사용자들이 관련있는 파일을 열지 못하게 할 수 있다. 따라서 사용자들은 이와 같은 방식으로 센드메일을 보호할 수 있다.
SSH, The Secure Shell: The Definitive Guide


솔라리스 rwalld

솔라리스와 함께 배포되는 rwalld 대몬은 형식 문자열 공격에 취약하다. 이것은 원격 공격자가 rwalld를 실행하고 있는 사용자의 권한으로 코드를 실행할 수 있기 때문이다. 이 취약점은 솔라리스 2.5.1, 2.6, 7, 8 버전에 영향이 있는 것으로 보고되었다.

사용자들은 썬에서 나온 패치를 적용해야 한다. 또는 굳이 rwalld가 필요하지 않다면 사용하지 않도록 한다.

mnews

이메일과 뉴스 클라이언트인 mnews는 버퍼 오버플로우에 취약하며, 로컬 (혹은 어떤 경우엔 원격의) 사용자가 임의의 코드를 (종종 그룹 메일로써) 실행하는데 이용될 수 있다. 이 취약점은 1.22 버전에 해당되는 것으로 보고되었다.

사용자들은 문제가 해결되기 전까지 mnews를 사용하지 않는 것도 고려해봐야 한다.

FreeBSD rc

FreeBSD 시작 스크립트인 rc는 파일 globbing을 안전하게 처리하지 못한다. 이것은 특정 조건에서 악용될 수 있는데, 로컬 공격자가 시스템이 시작될 때에 임의의 파일을 삭제할 수 있다.

사용자들은 FreeBSd 4.5-STABLE, security branch로 업그레이드 하거나 /etc/rc 파일에서 rm -f /tmp/.X*-lock /tmp/.X11-unix/* 라인을 지워야 한다.

데비안 Netstd

Netstd는 예전에 데비안 리눅스와 함께 배포되었던 네트워크 대몬과 애플리케이션의 legacy set이다. Netstd에 있는 서버 애플리케이션에서 버퍼 오버플로우가 발생하는 것으로 알려졌는데, 이것은 네임 서버를 제어하는 원격의 공격자에 의해 이용될 수 있다. 이 패키지는 데비안 포테이토(Potato) 릴리즈의 일부분으로서 배포되었지만, 우디(Woody) 릴리즈에서는 함께 배포되지 않는다.

사용자들은 Netstd 패키지를 제거하는 것도 고려하기 바란다.

솔라리스 rarpd

rarpd는 역 arp 도구이다. rarpd의 솔라리스 버전은 원격에서 악용할 수 있는 세 가지의 버퍼 오버플로우와 두 종류의 형식 문자열에 취약한 것으로 보고되었다.

사용자들은 이 문제를 수정한 업데이트를 찾아보기 바란다. 문제가 해결되기 전까지는 rarpd를 사용하지 않거나 설치하지 말 것을 고려해보기 바란다.

BannerWheel

BannerWheel은 무작위 배너 광고 디스플레이 스크립트로 버퍼 오버플로우에 취약한 것으로 보고되었다. 이것은 원격에서 웹 서버를 실행중인 사용자의 권한으로 임의의 코드를 실행하는데 악용될 수 있다.

사용자들은 문제가 해결될 때 까지 BannerWheel을 사용하지 않는 것도 고려해봐야 한다.

Informix

Informix에서 로컬 공격자가 루트 권한을 획득할 수 있는데 이용할 수 있는 버퍼 오버플로우가 보고되었다. 이 버퍼 오버플로우는 리눅스에서는 Informix 버전 SE-7.25에 영향이 있는 것으로 보고되었으나 다른 플랫폼에서도 영향이 있을 수 있다.

사용자들은 IBM 에서 패치가 나오기를 기다려야 할 것이다.
노엘 데이비스(Noel Davis)는 유닉스 시스템 관리자로 리눅스 사용 경험은 6년이 넘었으며 5년 여간 시스템 관리자로 일하고 있다.
TAG :
댓글 입력
자료실

최근 본 상품0