포스팅 내용

국내외 보안동향

HTTP.sys 원격 코드실행 취약점 (CVE-2015-1635, MS15-034) 주의!

HTTP.sys 원격 코드실행 취약점 (CVE-2015-1635, MS15-034) 주의!


이번 4월 14일, MS정기업데이트에서 고위험으로 분류되었던 HTTP.sys 원격 코드실행 취약점(CVE-2015-1635, MS15-034)에 대한 보안패치가 공개되었습니다.


HTTP.sys 원격 코드실행 취약점 (CVE-2015-1635, MS15-034) 이란?


HTTP서버가 특수하게 조작된 HTTP요청이 있을 때 발생하는 취약점입니다. 해당 취약점을 이용하면 시스템에서 공격자가 원하는 원격코드를 실행할 수 있습니다.



취약점 원리


1) Upper = 0xFFFFFFFFFFFFFFFF일 때, UlpParseRange 또는 UlAdjustRangesToContentSize 에서 정수 오버 플로우가 일어나 UlAdjustRangesToContentSize 의 Length 체크를 우회할 수 있습니다.


2) 공격자가 (1)의 과정을 통해 Length를 조절할 수 있게 되었지만, 만약 Length = 0xFFFFFFFFFFFFFFFF – range 시작주소, 즉 range 시작주소가 반드시 얻고자 하는 문서의 데이터 길이인 contentlength보다 작아야만 정수 오버 플로우 공격에 성공할 수 있습니다. 




※ 취약점 테스트
IIS서버에 아래와 같은 형식의 HTTP Request를 전송하면 취약점을 테스트 할 수 있습니다. 

GET / HTTP/1.1
Host: stuff
Range: bytes=0-18446744073709551615

또는 wget 혹은 crul툴을 이용하는 경우에도 해당 취약점을 테스트 할 수 있습니다. 

$ curl -v 10.0.1.1/ -H "Host: irrelevant" -H "Range: bytes=0-18446744073709551615"

※ 패치 방법
2015년 4월 14일에 공개된 보안 업데이트 진행


영향받는 소프트웨어


 Windows 7

 Windows 7(32비트 시스템용) 서비스 팩 1 

 Windows 7(x64 기반 시스템용) 서비스 팩 1 

 Windows Server 2008 R2

 Windows Server 2008 R2(x64 기반 시스템용) 서비스 팩 1 

 Windows Server 2008 R2(Itanium 기반 시스템용) 서비스 팩 1 

 Windows 8 및 Windows 8.1

 Windows 8(32비트 시스템용) 

 Windows 8(x64 기반 시스템용) 

 Windows 8.1(32비트 시스템용)

 Windows 8.1(x64 기반 시스템용)

 Windows Server 2012 

및 

Windows Server 2012 R2

 Windows Server 2012

 Windows Server 2012 R2 

 Server Core 설치 옵션

 Windows Server 2008 R2(x64 기반 시스템용) 서비스 팩 1(Server Core 설치)

 Windows Server 2012(Server Core 설치)

 Windows Server 2012 R2(Server Core 설치)



참고: 




티스토리 방명록 작성
name password homepage