• Bash Code Injection 취약점 패치 권고

    Critical 한 취약점으로 반드시 Bash Shell을 사용하는 관리 시스템은 업데이트 해주시는 것이 좋습니다.

     

    ( 맥북, 아이폰 등 MAC의 OS X 또한 해당 됩니다. 허나, 애플에서는 대부분의 맥 사용자들은 안전 하다고 하는데요. 글쎄요..

    아직 MAC용 패치는 나오지 않은 것 같습니다. 아래 기사 내용 참고)

    http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140927094700

     

     

    해당 취약점은 환경변수에 함수정의를 통해서 원하는 코드를 추가 하고, 실행 할 수 있게 되는 취약점입니다.

     

     

    – 취약점 확인 방법

    아래와 같이 명령 수행시 ‘vulnerable’ 메세지가 출력 된다면 취약한 버전을 사용 중인 것입니다.

    env x='() { :;}; echo Vulnerable’ bash -c “echo This is Test”

    </pre>

    env x='() { :;}; echo Vulnerable’ bash -c “echo This is Test”

    vulnerable

    This is Test

    <pre>

     

    – 취약점 관련 Redhat 참고링크

    https://access.redhat.com/announcements/1210053

    https://access.redhat.com/articles/1200223

     

    – KISA에서 발생 된 두 차례 보안 업데이트 권고문

    KISA 1차 업데이트 권고 – http://krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21983

    KISA 2차 업데이트 권고 – http://krcert.or.kr/kor/data/secNoticeView.jsp?p_bulletin_writing_sequence=21984

     

    – 취약점 패치 방법

    해당 취약점을 패치 하는 방법은 최신버전으로 update 하는 것입니다.

     

    Redhat 계열

     yum 사용이 가능한 환경이라면, yum update bash -y 

    yum을 사용 할 수 없는 환경이라면 아래 URL에서 rpm 파일을 받아 업데이트 해주시기 바랍니다.

    https://rhn.redhat.com/errata/RHSA-2014-1293.html

     

    Ubuntu 

    http://www.ubuntu.com/usn/usn-2362-1/

    http://www.ubuntu.com/usn/usn-2363-2/

     

    Debian 

    https://www.debian.org/security/2014/dsa-3035

    전체 패키지 업그레이드를 하거나,

    apt-get update && apt-get upgrade
    bash 패키지만 업그레이드 하시면 됩니다.

    apt-get update && apt-get install –only-upgrade bash

     

    현재(2014.10.02) debian 7 (wheezy)은 해당 취약점이 fix된 버전이 나왔지만,

    6버전(squeeze)의 경우 아직 업데이트 되지 않았습니다.

    https://security-tracker.debian.org/tracker/source-package/bash

     

    필요하신 분들은 LTS 버전의 source list를 추가 하셔서 업데이트 하시기 바랍니다.

    echo “#LTS security” >> /etc/apt/sources.list
    echo “deb http://http.debian.net/debian/ squeeze-lts main contrib non-free” >> /etc/apt/sources.list
    echo “deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free” >> /etc/apt/sources.list

    apt-get update && apt-get install –only-upgrade bash

     

     

    SUSE Linux

    http://support.novell.com/security/cve/CVE-2014-7169.html

     

     

     

    Comments

    comments

    Post Tagged with ,

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.