상세 컨텐츠
본문
HTTP.sys 원격 코드실행 취약점 (CVE-2015-1635, MS15-034) 주의!
이번 4월 14일, MS정기업데이트에서 고위험으로 분류되었던 HTTP.sys 원격 코드실행 취약점(CVE-2015-1635, MS15-034)에 대한 보안패치가 공개되었습니다.
HTTP.sys 원격 코드실행 취약점 (CVE-2015-1635, MS15-034) 이란?
HTTP서버가 특수하게 조작된 HTTP요청이 있을 때 발생하는 취약점입니다. 해당 취약점을 이용하면 시스템에서 공격자가 원하는 원격코드를 실행할 수 있습니다.
취약점 원리
1) Upper = 0xFFFFFFFFFFFFFFFF일 때, UlpParseRange 또는 UlAdjustRangesToContentSize 에서 정수 오버 플로우가 일어나 UlAdjustRangesToContentSize 의 Length 체크를 우회할 수 있습니다.
2) 공격자가 (1)의 과정을 통해 Length를 조절할 수 있게 되었지만, 만약 Length = 0xFFFFFFFFFFFFFFFF – range 시작주소, 즉 range 시작주소가 반드시 얻고자 하는 문서의 데이터 길이인 contentlength보다 작아야만 정수 오버 플로우 공격에 성공할 수 있습니다.
※ 취약점 테스트
IIS서버에 아래와 같은 형식의 HTTP Request를 전송하면 취약점을 테스트 할 수 있습니다.
GET / HTTP/1.1
Host: stuff
Range: bytes=0-18446744073709551615
또는 wget 혹은 crul툴을 이용하는 경우에도 해당 취약점을 테스트 할 수 있습니다.
$ curl -v 10.0.1.1/ -H "Host: irrelevant" -H "Range: bytes=0-18446744073709551615"
※ 패치 방법
2015년 4월 14일에 공개된 보안 업데이트 진행
영향받는 소프트웨어
Windows 7 | Windows 7(32비트 시스템용) 서비스 팩 1 |
Windows 7(x64 기반 시스템용) 서비스 팩 1 | |
Windows Server 2008 R2 | Windows Server 2008 R2(x64 기반 시스템용) 서비스 팩 1 |
Windows Server 2008 R2(Itanium 기반 시스템용) 서비스 팩 1 | |
Windows 8 및 Windows 8.1 | Windows 8(32비트 시스템용) |
Windows 8(x64 기반 시스템용) | |
Windows 8.1(32비트 시스템용) | |
Windows 8.1(x64 기반 시스템용) | |
Windows Server 2012 및 Windows Server 2012 R2 | Windows Server 2012 |
Windows Server 2012 R2 | |
Server Core 설치 옵션 | Windows Server 2008 R2(x64 기반 시스템용) 서비스 팩 1(Server Core 설치) |
Windows Server 2012(Server Core 설치) | |
Windows Server 2012 R2(Server Core 설치) |
참고:
'국내외 보안동향' 카테고리의 다른 글
| [해외보안동향] 아이폰과 아이패드 충돌을 일으키는 iOS 8 취약점 발견 (2) | 2015.04.24 |
|---|---|
| [해외보안동향] 파일이 없는 멀웨어 발견 (2) | 2015.04.23 |
| Redirect to SMB 취약점 발견 (1) | 2015.04.16 |
| [해외보안동향] 워드프레스 WP-Super-Cache 플러그인에서 심각한 취약점 발견 (0) | 2015.04.15 |
| [해외보안동향] 악성코드를 숨긴 가짜 게임 데모판 주의! (0) | 2015.04.13 |
댓글 영역