Embedthis회사의 web서버 GoAhead에서 원격코드실행 취약점이 발견되었습니다. 해당 취약점의 CVE는 CVE-2017-17562입니다. glibc 다이나믹링크와 결합하여 사용할 때, 특수한 매개변수명을 사용할 수 있는데 (예를들어 LD_PRELOAD) 이를 이용하여 원격코드실행이 가능합니다. 공격자는 요청한 본문 중 그것이 공유한 유효한 Payload를 POST 하고, /proc/self/fd/0를 이용하여 그것을 사용합니다.
GoAhead는 무엇인가?
GoAhead는 오픈소스로서 주로 멀티플랫폼에서 동작하는 임베디드 Web Server 입니다. eCos, LINUXm LyuxOS, QNX, VxWorks, pSOS등 다양한 플랫폼을 지원합니다.
GoAhead에서 발견된 원격코드실행 취약점(CVE-2017-17562)
만약 Embedthis GoAhead 3.6.5 이전버전을 사용하고 있고, cgi가 활성화 및 cgi 프로세스가 DLL일 경우 원격코드실행취약점이 존재한다고 밝혔습니다. 이 취약점은 cgi에서 사용하는 cgiHandler 함수 중 신뢰할 수 없는 HTTP Request 매개변수가 분기 cgi 스크립트를 초기화 해서 발생하는 것입니다.
glibc dll과 결합하였을 때, 특수한 매개변수 이름을 사용할 수 있는데, 이를 이용하여 원격코드실행을 할 수 있게 됩니다. 공격자는 요청한 본문 중 그것이 공유한 유효한 Payload를 POST 하고, /proc/self/fd/0를 이용하여 그것을 사용합니다.
영향받는 범위
GoAhead Web Server Version 3.6.5 미만 버전
해결방법
최신 버전으로 업데이트
참고 :
삼성 브라우저에서 동일출처정책(SOP, Same Origin Policy)을 우회할 수 있는 취약점 발견! (0) | 2018.01.02 |
---|---|
macOS 플랫폼을 노리는 최신 악성코드 HiddenLotus 분석 (3) | 2017.12.27 |
윈도우 정품 인증 툴로 유명한 KMSpico, 가상화폐 채굴 악성코드 포함되어 있어 (0) | 2017.12.22 |
당신의 휴대폰을 망가뜨릴 수 있는 안드로이드 악성코드 발견! (0) | 2017.12.22 |
북한의 공격그룹 ‘HIDDEN COBRA’, 일본에서 활동한 흔적 발견 (0) | 2017.12.21 |
댓글 영역