상세 컨텐츠
본문
CVE-2015-0235 Ghost 취약점 발견
Ghost 취약점이 발견되어, 사용자 주의를 당부 드립니다. 해당 취약점은 Linux glibc 라이브러리에서 발생한 것으로, 공격자가 시스템 상황을 모르는 상태에서 원격으로 시스템 제어 권한을 획득할 수 있습니다.
glibc이란?
glibc란 'GNU C library'의 약자로 GNU시스템과 Linux에서 사용하는 대표적인 C라이브러리입니다. Linux 시스템에서 가장 로우레벨 api로 거의 모든 운영 라이브러리가 glibc를 참조하고 있습니다.
Ghost(CVE-2015-0235) 취약점
해당 취약점은 gethostbyname*() 함수에서 발생하는 취약점으로, 취약점이 발생하면 sizeof(char*)개의 바이트가 오버플로우 됩니다. (주의할 것은 여기서 char*은 32비트 시스템에서는 4바이트를 말하며, 64비트 시스템에서는 8바이트를 말합니다.)
하지만 해당 취약점은 payload가 숫자(‘0’), 점(‘.’), 그리고 마침을 표현하는 빈칸(‘/0’)으로만 이루어져 있어야 한다는 전제조건이 있습니다. 사실 glibc를 타겟으로 한 공격은 2000년 11월 10일에 이미 발생했었으며, 2013년 5월 21일에 이미 패치가 진행되었습니다. (glibc 2.17버전에서 glibc 2.18버전 사이)
당시 사용자들은 이것이 보안 취약점이라는 것을 인지하지 못했습니다. 그 결과, 현재 대부분의 리눅스 버전들이 모두 해당 취약점을 갖고 있게 되었습니다.
패치 방법은 glibc자체를 업데이트 하면 됩니다. 하지만 해당 라이브러리에는 많은 서비스에서 사용하는 함수들이 포함되어 있고, 업데이트 후 반드시 재부팅을 해야하기 때문에 약간의 번거로움이 있습니다.
※ 점검방법
glibc를 참조하는 프로그램 찾기
$ lsof | grep libc | awk '{print $1}' | sort | uniq
※ 패치방법
CentOS, Red Hat, Fedora, Scientific Linux 업데이트
$ yum clean all && yum update glibc
$ shutdown -r now
Debian, Ubunt 및 기타 제품
$ sudo apt-get update && sudo apt-get install libc6
$ sudo shutdown -r now
해당 취약점에 영향을 받는 버전
※아래에 안내되어 있는 버전의 하위 버전인 경우 Ghost 취약점에 취약합니다.
운영체제 |
Fix 버전 |
|
Redhat |
RHSA-2015:0090-1 |
RHEL 5 (glibc-2.5-123.el5_11.1) RHEL 6 (glibc-2.12-1.149.el6_6.5) RHEL 7 (glibc-2.17-55.el7_0.5) |
RHSA-2015:0092-1 |
||
RHEL 5 |
||
RHEL 6 |
||
RHEL 7 |
||
debian |
DSA-3142-1 |
squeeze (eglibc 2.11.3-4+deb6u4) wheezy (eglibc 2.13-38+deb7u7) |
squeeze |
||
squeeze(lts) |
||
wheezy |
||
CentOS |
CentOS 5 |
CentOS 5 (glibc-2.5-123.el5_11.1) CentOS 6 (glibc-2.12-1.149.el6_6.5) CentOS 7 (glibc-2.17-55.el7_0.5) |
CentOS 6 |
||
CentOS 7 |
||
Ubuntu |
USN-2485-1 |
Ubuntu 10.04 LTS (eglibc 2.11.1-0ubuntu7.20) Ubuntu 12.04 (eglibc 2.15-0ubuntu10.10) |
Ubuntu 10.04 LTS |
||
Ubuntu 12.04 LTS |
||
AWS/Amazon Linux |
CVE-2015-0235 Advisory (Ghost) |
Amazon Linux (glibc-static-2.17-55.93.amzn1) |
| ALAS-2015-473 | ||
공식 사이트 패치 버전 :
Qualys Advisory: https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
RedHat: https://access.redhat.com/articles/1332213
Ubuntu: http://www.ubuntu.com/usn/usn-2485-1/
Debian: https://security-tracker.debian.org/tracker/CVE-2015-0235
Oracle Enterprise Linux: https://oss.oracle.com/pipermail/el-errata/2015-January/004810.html
CentOS: http://lists.centos.org/pipermail/centos-announce/2015-January/020906.html
OpenSUSE: http://lists.opensuse.org/opensuse-updates/2015-01/msg00085.html
GNU C Library: http://www.gnu.org/software/libc/
Mitre: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
참고 자료 :
'국내외 보안동향' 카테고리의 다른 글
| [해외보안동향] 안드로이드 타겟 뱅킹 트로이목마, SMS 스틸러 성행 중 (0) | 2015.02.05 |
|---|---|
| [해외보안동향] 페이스북 악성코드(malware), 여전히 증가 중 (0) | 2015.02.03 |
| [해외보안동향] 의료비 통지서를 가장한 공격 발생 (0) | 2015.01.28 |
| [해외보안동향] 비공개로 설정한 인스타그램 사진, 노출될 위험 있었다? (0) | 2015.01.20 |
| [해외보안동향] 구글 애드워즈 캠페인, 멀버타이저들에 장악 당해 (0) | 2015.01.19 |
댓글 영역