강좌

HOME > 강좌 >
강좌| 리눅스 및 오픈소스에 관련된 강좌를 보실 수 있습니다.
 
트로이 목가 내포된 openssh
조회 : 2,822  


certcc에서 보안 권고문이 날라 왔는데.. 7월 30~31일날 openssh 3.4p1을 받아서 설치한 분들은 꼭 참조하세요..
트로이 목마가 설치 되어 잇다고 하네요..
한 한달 사이에 openssh에 보안 문제가 제기 되네요..떱..

가능하면.. ssh2를 설치해 보세요..(개인적으로는 이것은 좋아해 설치해 사용하고 있습니다..)
그럼 좋은 하루 보내세요..

##################################################################
안녕하세요.
한국정보보호진흥원의 강준구입니다.
급히 주의를 요구하는 사안이므로
모든 OpenSSH 사용자분들은 이 권고문을 읽어 주실 것을 강력히 권고합니다.


======================
KA-2002-76: Trojan Horse OpenSSH Distribution
----------------------

최초작성일 : 2002-08-03
갱 신 일 :
출 처 : CERT/CC
작 성 자 : 강준구(jgkang@certcc.or.kr)

-- 제목 --------------
트로이목마를 내포한 OpenSSH패키지 배포

-- 해당 시스템 --------
OpenSSH를 탑재하려는 모든 시스템

--영향-----------------
OpenSSH내의 트로이목마가 내포된 버전을 다운로드받아 컴파일하게 된다면
공격자는
원격으로 그 호스트에 대한 비인가 허가권한을 획득할 수 있다. 접근 수준은
트로이목마를
컴파일한 사용자의 접근수준으로 되므로 만약 운영자 권한일 경우 모든
시스템을 장악할 수
도 있다.

-- 설명---------------
아래와 같은 파일에 악성코드가 포함되어져 있다.
openssh-3.4p1.tar.gz
openssh-3.4.tgz
openssh-3.2.2p1.tar.gz

ftp.openssh.com와 ftp.openbsd.org 사이트들은 2002년 7월 30일 또는 31일에
발견된 악성코드
내포된 호스트들이다. 8월 1일 13:00 이후로 정상파일로 대체되어 별 문제가
없으나 7월 30일
또는 31일에 다운로드하고 컴파일한 사람들은 모두 트로이목마가 설치되어
있다. 또한 이 사이트를
Mirroring 한 사이트들 또한 감염되어져 있다.

OpenSSH에 내포된 트로이목마의 악성코드는 고정인 원격 서버의 6667/tcp로
연결한다.
그리고 트로이목마는 컴파일한 사용자의 권한의 쉘을 실행시키게 되는
것이다.


-- 해결책---------------
OpenSSH를 어디에서 다운받았는지 상관없이 배포를 하는데 있어서 검토 및
배포 허가작업을
할 수 있도록 해야한다. Timestamp와 파일 사이즈로서 트로이목마가 자신의
시스템에 내포되어져
있는지 아닌지 가늠하기 힘들므로 해킹 된 사이트에서 다운을 받은 모든
프로그램을 검사할 것을 권고한다.
OpenSSH를 다운로드 할 수 있는 주요 사이트:
http://www.openssh.com/

MD5 checksum을 이용하여 자신의 현재 OpenSSH코드 버전을 확인할 수 잇다.

정상버전
459c1d0262e939d6432f193c7a4ba8a8 openssh-3.4p1.tar.gz
d5a956263287e7fd261528bb1962f24c openssh-3.4p1.tar.gz.sig
39659226ff5b0d16d0290b21f67c46f2 openssh-3.4.tgz
9d3e1e31e8d6cdbfa3036cb183aa4a01 openssh-3.2.2p1.tar.gz
be4f9ed8da1735efd770dc8fa2bb808a openssh-3.2.2p1.tar.gz.sig

트로이목마가 내포된 버전:
3ac9bc346d736b4a51d676faa2a08a57 openssh-3.4p1.tar.gz

[원글링크] : https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=765


이 글을 트위터로 보내기 이 글을 페이스북으로 보내기 이 글을 미투데이로 보내기

 
칸이
홈페이지 : http://www.chtla.com

저작권 : http://www.chtla.com

강사명 : 칸이

이메일 : chtla골뺑이chtla.com