현재 위치

›› Forums ›› 이슈 ›› 뉴스, 새소식

심각한 Unix/Linux 보안 취약점!!

geekforum의 이미지
글쓴이: geekforum / 작성시간: 토, 2000/09/09 - 1:12오전

보안 전문가들은 유닉스와 리눅스 시스템에서 공격자들에게 컴퓨터의 모
든 제어권을 뺏길 수 있는 새로운 취약점이 발견하였다.

두달전부터 이 "포맷 스트링(Format String)" 취약점이 표면화되기 시
작했다고 보안 메일링리스트 "버그트랙"의 관리자 Elias Levy 가 말했
다.
이들중에 몇몇은 기본적인 유닉스 소프트웨어에 숨어 있었는데, 보안 전
문가들은 그것들을 이제 찾아내어 수정하고 있다.

포맷 스트링 취약점을 이용하기 위해서는, 공격자가 컴퓨터에게 포맷 커
맨드를 포함하는 문자열을 표시하게 한다. 포맷 커맨드들을 신중하게 처
리하여, 공격자는 컴퓨터를 속여서 프로그램을 실행하게 할 수 있다.

아르헨티나의 보안 회사 Core CDI의 대표이며, 지난 금요일에 공개가 되
었던 "Locale" 포맷 스트링 취약점의 발견자인 Ivan Arce는, "포맷 스
트링 버그는 컴퓨터 보안 취약점의 새로운 경향이다"라고 말했다.

유닉스와 그 가까운 친척들(리눅스)의 팬들은 계속 보안 문제에 시달려
왔던 Micro$oft Windows와 비교되는 그들의 운영체제의 일반 보안을 자
랑한다. 그러나 포맷 스트링 이슈는 약점들이 몇 년 동안 소프트웨어 안
에 숨어 있을 수 있었다는 사실과, 몇십만 라인이나 되는 코드들 속에서
그것들을 추적하기가 힘들다는 사실을 강조한다.

공격자들이 시스템 관리자의 권한을 가지도록 하는 것은 피해가 엄청날
수 있다. 공격자는 데이터베이스를 삭제한다던지, 패스워드 화일을 삭세
하는것과 같은 피해를 줄 수 있다. 비록 컴퓨터가 비교적 중요하지 않은
정보를 보관하고 있지 않더라도, 점령된 컴퓨터는 지난 2월의 야후와 같
은 대형 웹사이트를 다운시키기 위한 DDoS공격에 한 부분으로서 사용될
수 있다.

Levy는 지난 몇 주 동안 컴퓨터 보안 전문가들이 6,7개의 포맷 스트링 취
약점들을 공표하였다고 추정하였으며, Arce는 더 많이 있을 것이라고 예
측하였다. 그리고 이미, 보안 전문가들은 취약점을 이용할 수 있는 간단
한 프로그램들을 버그트랙에 공개하였다.

이 로케일 취약점은 여러 언어를 사용하는 유닉스나 리눅스에 사용되는 국
제화된 소프트웨어에서 사용된다. 이것은 무수한 기초적인 유닉스 프로그
램들이 해당 언어에서의 "password incorrect"같은 프린트 메시지들을
로케일 시스템에 의존하기 때문에 중요하다.

래드햇의 리눅스 운영체제 개발 부분의 매니저인 Preston Brown은, 오
늘 래드햇은 C 언어로 작성된 프로그램의 기본적인 라이브러리를 변경
하는 것에 의한 로케일 문제를 수정하였다고 밝혔다. 그는, 키 단계는 컴
퓨터 시스템에 관한 기초적인 프로그램들이 프로그램들에게 포맷 문자열
공격 명령들을 포함하는 메시지 카탈로그들을 사용하게 하기 위해 공격자
를 허락하는 대신에 시스템의 자기 자신의 메시지 카탈로그들을 사용할 것
을 확인하는 것이라고 말했다.

Arce는 처음에 이 로케일 취약성을 선 마이크로시스템즈 서버에서 발견하
였으나, 이것은 OpenBSD나 FreeBSD를 제외한 리눅스나 유닉스 운영체제
에 영향을 끼친다고 말했다. 불행하게도, 광범위하게 퍼져있는 취약점은
취약점에 대한 조절된 공고와 유닉스와 리눅스 회사들의 수정을 위한
Arce의 계획을 이탈시켰다.

Arce는 18개의 유닉스와 리눅스 업체들이 9월 11일 취약점을 공고할 예
정이라고 밝혔다. 그가 말하기를 리눅스의 레드 헷, Debian,
Conectiva 버전들의 대표자들은 그 전에 취약성의 상황 보고들을 게시했
지만, 문제는 공격자들이 쉽게,그리고 바르게 취약성이 유닉스와 리눅스
의 다른 버전들에도 적용한다라고 생각할 수 있다는 것이다.

Arce는 "나는 벤더들의 모든 조절된 릴리즈들의 정보가 산산조각났다는
것을 깨달았다."라고 버그트랙에서의 게시물에서 말했다. "그 문제가 다
른 유닉스(운영체제)에도 있다는 것을 깨닫는 것은 시간문제라는 기지의
사실과, 포맷 스트링 버그들이 새로운 경향이라는 것과 익스플로잇을 작
성하는 것은 그다지 어렵지 않다는 것에 의해, 나는 단지 상황 보고를 출
판하고, 피해입을지도 모르고, 실제로도 그러한 모든 유닉스 사용자들에
게 경고하는 것이라고 결심했다."

이 slipup은 미스커뮤니케이션의 결과였다. 래드햇의 Brown은 "우리의
포스트가 그가 의미했던 것보다 일찍 나갔던 것은 오해로 비롯된 것이었
다."고 말했다. 그러나, 취약점 정보를 배포하는 것에 대한 조화로운 시
도들이 실패하는 것은 일반적이라고 그는 덧붙였다.

-- 하략 ---
이 밑은 그리 중요한 내용은 아닙니다..

번역자 덧붙임 : 웹쪽이 아닌 유닉스/리눅스 계정사용자가 있을경우 어플
리케이션 쪽에서 발생하는 문제입니다.

From: cnet.com
URL: http://news.cnet.com/news/0-1003-202-2719802.html

Forums: 
뉴스, 새소식

둘러보기