해당 분류 : 서버에 대한 이야기    CVE-2015-0235 Ghost 취약점 발견    글을 기록한 날 : 2015/01/29 14:38

CVE-2015-0235 Ghost 취약점 발견


Ghost 취약점이 발견되어, 사용자 주의를 당부 드립니다. 해당 취약점은 Linux glibc 라이브러리에서 발생한 것으로, 공격자가 시스템 상황을 모르는 상태에서 원격으로 시스템 제어 권한을 획득할 수 있습니다.


glibc이란?

glibc란 'GNU C library'의 약자로 GNU시스템과 Linux에서 사용하는 대표적인 C라이브러리입니다. Linux 시스템에서 가장 로우레벨 api로 거의 모든 운영 라이브러리가 glibc를 참조하고 있습니다.



Ghost(CVE-2015-0235) 취약점


해당 취약점은 gethostbyname*() 함수에서 발생하는 취약점으로, 취약점이 발생하면 sizeof(char*)개의 바이트가 오버플로우 됩니다. (주의할 것은 여기서 char*은 32비트 시스템에서는 4바이트를 말하며, 64비트 시스템에서는 8바이트를 말합니다.)


하지만 해당 취약점은 payload가 숫자(‘0’), 점(‘.’), 그리고 마침을 표현하는 빈칸(‘/0’)으로만 이루어져 있어야 한다는 전제조건이 있습니다. 사실 glibc를 타겟으로 한 공격은 2000년 11월 10일에 이미 발생했었으며, 2013년 5월 21일에 이미 패치가 진행되었습니다. (glibc 2.17버전에서 glibc 2.18버전 사이)


당시 사용자들은 이것이 보안 취약점이라는 것을 인지하지 못했습니다. 그 결과, 현재 대부분의 리눅스 버전들이 모두 해당 취약점을 갖고 있게 되었습니다.


패치 방법은 glibc자체를 업데이트 하면 됩니다. 하지만 해당 라이브러리에는 많은 서비스에서 사용하는 함수들이 포함되어 있고, 업데이트 후 반드시 재부팅을 해야하기 때문에 약간의 번거로움이 있습니다.



※ 점검방법

glibc를 참조하는 프로그램 찾기

$ lsof | grep libc | awk '{print $1}' | sort | uniq



※ 패치방법

CentOS, Red Hat, Fedora, Scientific Linux 업데이트

$ yum clean all && yum update



Debian, Ubunt 및 기타 제품

$ sudo apt-get clean && apt-get update && apt-get upgrade




해당 취약점에 영향을 받는 버전


glibc라이브러리의 2.2~2.17버전의 모든 리눅스 시스템

CentOS 6 & 7

Debian 7

Red Hat Enterprise Linux 6 & 7

Ubuntu 10.04 & 12.04

각 리눅스 배포버전



공식 사이트 패치 버전 :

RedHat: https://rhn.redhat.com/errata/RHSA-2015-0090.html

Ubuntu: https://launchpad.net/ubuntu/+source/eglibc

Debian: https://security-tracker.debian.org/tracker/CVE-2015-0235

GNU C Library: http://www.gnu.org/software/libc/



출처 : 알약 공식 블로그 http://blog.alyac.co.kr/243
Creative Commons License
Creative Commons License
TAG : ,

Notice

Blogroll

Counter

· Total
: 272554
· Today
: 38
· Yesterday
: 36