반응형
아파치 HTTP 취약점 CVE-2021-44224, CVE-2021-44790 공개 (Apache HTTP CVE-2021-44224, CVE-2021-44790 Vulnerability)

Apache 소프트웨어 재단에서 아래와 같이 Apache HTTP에 대한 취약점을 공개 했습니다. Apache HTTP를 최신 버전(2.4.52)로 업데이트 하도록 권고 하고 있습니다.

Apache 최신 버전(2.4.52) 설치 : https://httpd.apache.org/download.cgi

 

 

반응형
반응형
  • Sudo 취약점 CVE-2021-3156 공개 (Baron Samedit)

  • 취약점 이름 : Baron Samedit
  • CVE 번호 : CVE-2021-3156
  • CVSSv3 점수 : 7.8
  • 최약점 공개 : 2021-01-27
  • 취약점 버전 : 1.8.2~1.8.31p2 / 1.9.0~1.9.5p1 
  • 취약점 내용 : Heap-based Buffer Overflow로 인한 권한 상승 (루트 권한 획득)
  • 취약점 패치 방법 : sudo 1.9.5p2 버전으로 업데이트
  • 취약점 시연 영상 : https://vimeo.com/504872555

해당 취약점은 2011년 7월에 도입 되어 2021년 1월에 취약점이 공개 되었습니다. 취약점은 계속 있었으나 약 10년만에 발견되었던 만큼 취약점이 해당하는 버전이 많아 대부분의 시스템이 취약할 것으로 생각됩니다. 

시연 영상을 보시면 아시겠지만 계정 패스워드를 알지 못해도 루트 권한을 획득할 수 있으며, Ubuntu 20.04 (sudo 1.8.31), Debian 10 (Sudo 1.8.27), Fedora 33 (Sudo 1.9.2) 등 여러 배포판 리눅스에서 전체 루트 권한을 획득할 수 있었다고 합니다.

취약점을 발견한 Qualys 연구팀에서는 취약점에 대한 악용 코드를 게시하지 않겠다고 하여 당장 Baron Samedit 취약점에 대해 문제가 발생하지는 않겠지만, 기술적인 내용들을 게시했으므로 추후 악용될 가능성은 충분해 보입니다.

 

  • 1) 취약점 테스트

아래 명령어를 입력하여 취약한지 테스트가 가능 합니다.

sudoedit -s /
  • 취약한 경우 : "sudoedit :" 으로 시작하는 오류 응답
  • 패치된 경우 : "usage :" 으로 시작하는 오류 응답

 

  • 2-1) 임시 패치 방법 (RedHat)

스크립트를 사용해 sudoedit 바이너리의 작동을 중지 시키는 방법이며, 이 방법은 임시로 스크립트를 돌리는 방식이기 때문에 재부팅할 때 마다 적용 시켜주어야 하는 번거로움이 있습니다.

RedHat에서는 아래와 같은 방법을 제공 했는데, 그냥 전체 복사 붙여넣기 해서는 안되니 아래 내용 참고하여 적용 하셔야 합니다.

* 버전 차이(7, 8)에 따라 debuginfo-install 에서 설치받는 패키지가 다르니 참고 해주세요.

* 보안 패치 후 systemtap script를 중지 시키는 라인(맨 마지막)이 있습니다. 

## 1. Install required systemtap packages and dependencies, example: 
yum install systemtap yum-utils kernel-devel-"$(uname -r)"

# Then for RHEL 7 install kernel debuginfo, using:
debuginfo-install -y kernel-"$(uname -r)" 

# Then for RHEL 8 install sudo debuginfo, using:
debuginfo-install sudo


## 2. Create the following systemtap script: (call the file as sudoedit-block.stap)
probe process("/usr/bin/sudo").function("main")  {

        command = cmdline_args(0,0,"");

        if (strpos(command, "edit") >= 0) {

                raise(9);

        }

}


## 3. Install the script using the following command: (using root)
# (This should output the PID number of the systemtap script)
# This script will cause the vulnerable sudoedit command to stop working. The sudo command will still work as usual.
# The above change does not persist across reboots and must be applied after each reboot.
nohup stap -g sudoedit-block.stap &


## 4. Once the new fixed packages are installed, the systemtap script can be removed by killing the systemtap process.  For example, by using:
# Warning: Do not attempt to disable sudoedit by removing the symlink as this is not a sufficient mitigation option.
kill -s SIGTERM 7590 (where 7590 is the PID of the systemtap process)

 


참고자료

blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-3156-heap-based-buffer-overflow-in-sudo-baron-samedit

 

CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit) | Qualys Security Blog

The Qualys Research Team has discovered a heap overflow vulnerability in sudo, a near-ubiquitous utility available on major Unix-like operating systems. Any unprivileged user can gain root privileges…

blog.qualys.com

access.redhat.com/security/cve/CVE-2021-3156

 

Red Hat Customer Portal - Access to 24x7 support and knowledge

 

access.redhat.com

반응형
반응형

 

  • (Critical) vCenter Server 취약점 CVE-2020-3952 공개

  • 취약점명 : -
  • CVE 번호 : CVE-2020-3952
  • CVSSv3 점수 : 10.0 (심각)
  • 최약점 공개 : 2020-04-09
  • 취약점 버전 : vCenter Server 6.7
  • 취약점 내용 : 특정 조건에서 VMware 디렉토리 서비스 vmdir가 엑세스 제어를 재대로 구현하지 못하는 현상이 발생
  • 패치 방법1 : vCenter Server 6.7u3f 또는 7.0 업그레이드

취약한 6.7u3f 이전의 vCenter Server 6.7 버전은 6.0 또는 6.5와 같이 이전 릴리스에서 업그레이드 된 경우 CVE-2020-3952의 영향을 받고, vCentser Server 6.7을 새로 설치한 경우에는 영향을 받지 않는다고 합니다. (번역이 잘못된것일수도 있으니 VMware 홈페이지에서 직접 확인하시는걸 추천 드립니다.)

해당 취약점에 대한 설명은 vmware 사이트에 잘 설명 되어 있으니 참고 해주세요.

 

VMware 보안 권고 : https://www.vmware.com/security/advisories/VMSA-2020-0006.html

 

반응형
반응형

 

  • 마이크로소프트(MS) 원격 코드 실행 취약점 발생 (Zero-day Attack)

  • 취약점명 : -
  • CVE 번호 : -
  • 최약점 공개 : 2020-03-23
  • 취약점 버전 : Windows 7, 8.1, 10 / Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019
  • 취약점 내용 : 어도비 타입 매니저(Adobe Type Manager Library)가 특주 제작된 다중 마스터 글꼴(Adobe Type 1 PostScript) 형식을 잘못 처리할 경우 2개의 원격 코드 실행 취약점이 발생
  • 패치 방법 : 패치 방안은 마이크로소프트에서 개발중이며, 지금 이 시간에도 악용되고 있는 Zero-day Attack 입니다. 현재까지 패치 방법은 존재하지 않으며 사용자의 각별한 주의가 필요 합니다.

 

아래에 작성할 내용은 마이크로소프트에서 발표한 예방법이며, 취약한 글꼴을 열지 않도록 사용자의 각별한 주의가 필요 합니다. 이 예방법 또한 공격자가 로컬에서 인증된 사용자로 악성 프로그램을 실행할 경우 예방법으로는 막을 수 없습니다. (계속해서 익스플로잇될 수 있기 때문에 주의해야 합니다)

현재 글에서는 Windows10 기준 취약점 예방법만 밑에 작성 할것이고, 자세한 내용을 확인하고 싶으시거나 다른 OS의 예방법을 확인하시고 싶을 경우 아래 링크를 통해 확인 해주세요.

 

마이크로소프트 취약점 공개 링크 : https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/adv200006#ID0EMGAC

 

  • Windows10 기준 취약점 예방법 (1)

  • Windows 탐색기를 실행하신 후 보기 → 미리 보기 창 및 세부 정보 창 선택 해제 합니다.

 

  • 마찬가지로 보기 → 옵션 → 폴더 및 검색 옵션 변경 클릭 합니다.

 

  • 보기 → 아이콘은 항상 표시하고 미리보기는 표시하지 않음 → 적용

 

  • Windows10 기준 예방법 (2)

  • Ctrl + R → Services.msc 입력

 

  • WebClient 우클릭 → (실행중일 경우 중지) → 속성   

 

  • 시작 유형 : 사용 안함 선택 후 적용

 

반응형

+ Recent posts