포스팅 내용

국내외 보안동향

GoAhead 원격코드실행 취약점(CVE-2017-17562) 발견

Embedthis회사의 web서버 GoAhead에서 원격코드실행 취약점이 발견되었습니다. 해당 취약점의 CVE는 CVE-2017-17562입니다. glibc 다이나믹링크와 결합하여 사용할 때, 특수한 매개변수명을 사용할 수 있는데 (예를들어 LD_PRELOAD) 이를 이용하여 원격코드실행이 가능합니다. 공격자는 요청한 본문 중 그것이 공유한 유효한 Payload를 POST 하고, /proc/self/fd/0를 이용하여 그것을 사용합니다. 



GoAhead는 무엇인가?


GoAhead는 오픈소스로서 주로 멀티플랫폼에서 동작하는 임베디드 Web Server 입니다. eCos, LINUXm LyuxOS, QNX, VxWorks, pSOS등 다양한 플랫폼을 지원합니다. 



GoAhead에서 발견된 원격코드실행 취약점(CVE-2017-17562)


만약 Embedthis GoAhead 3.6.5 이전버전을 사용하고 있고, cgi가 활성화 및 cgi 프로세스가 DLL일 경우 원격코드실행취약점이 존재한다고 밝혔습니다. 이 취약점은 cgi에서 사용하는 cgiHandler 함수 중 신뢰할 수 없는 HTTP Request 매개변수가 분기 cgi 스크립트를 초기화 해서 발생하는 것입니다. 

glibc dll과 결합하였을 때, 특수한 매개변수 이름을 사용할 수 있는데, 이를 이용하여 원격코드실행을 할 수 있게 됩니다. 공격자는 요청한 본문 중 그것이 공유한 유효한 Payload를 POST 하고, /proc/self/fd/0를 이용하여 그것을 사용합니다. 



영향받는 범위


GoAhead Web Server Version 3.6.5 미만 버전



해결방법


최신 버전으로 업데이트





참고 : 

https://www.elttam.com.au/blog/goahead/

https://github.com/embedthis/goahead/issues/249

티스토리 방명록 작성
name password homepage