MIME 버퍼 오버플로우 취약점과 대책
작성자 정보
- 웹관리자 작성
- 작성일
컨텐츠 정보
- 7,413 조회
- 0 추천
- 목록
본문
MIME 버퍼 오버플로우 취약점과 대책
1998. 9
신 훈/CERTCC-KR, 한국정보보호센터
1. 취약점 개요
메일 프로그램들이 MIME name 태그를 처리하는데 첨부화일의 이름에 대한 길이 검사를 하지않으므로 버퍼 오버플로우 상태가 발생하며 이 헤더의 길이가 메모리의 버퍼길이보다 길 경우 메모리의 다른 코드와 데이터 부분을 덮어쓰게 된다. 이때 덮어 쓰여진 부분이 실행코드가 있는 부분이라면 기존의 메모리상의 코드가 수행되는 것이 아니라 헤더에 포함되었던 삽입된 코드가 수행될 수 있다.
6월 23일 핀란드의 올루(Oulu)대학의 보안프로그래밍 그룹인 OUSPG의 Ari Taskanen과 전자공학부의 보안연구 및 네트워크 담당자인 Marko Laakso는 Windows NT에 대한 현재 유행중인 오버플로우 취약점에 대해 서버측이 아닌 워크스테이션, 즉 클라이언트 입장에서 웹 브라우저들과 전자메일 프로그램부터 해당 문제점을 연구하기 시작하였다. 최초의 대상 프로그램은 Outlook Express였다. 약 30분간의 6번의 시도만에 버퍼오버플로우 상태를 찾아내게 되었고 약 3주동안 이 결과를 토대로 버퍼오버플로우 취약점을 이용하여 임의의 코드를 수행시키는 시험을 하게 되었다.
이틀뒤에 이들은 네트스케이프 메일 클라이언트에서도 비슷한 문제가 있다는 것을 발견하게 되었고 이후 각종 메스컴에서 관련 사실을 앞다투어 보도하기에 이르렀다. 과거 인터넷 거짓정보(Internet Hoax)였던 "Good Time Virus"의 메일을 열기만 하면 하드디스크를 재포멧시킨다는 인터넷에서 공공연히 떠돌던 거짓정보가 이제 현실적으로 다가오고 있는 것이다. 또한 사용자에게 투명성을 보이며 정상적인 것 터럼 동작하는 트로이목마 프로그램도 충분히 삽입 가능하다.
2. 취약점의 심각성
- 일반 클라이언트 프로그램에서 버퍼오버플로우를 이용한 명령수행
- 사용자 투명성을 나타내는 백도어 프로그램 수행가능
- 뉴스서버를 통하여 인터넷 엄과 유사한 기능으로 전파가능
- 방화벽이나 네트워크 바이러스 스캐너로 탐지 거의 불가능
3. 취약한 프로그램 및 버전
- Outlook Express 4.0, 4.01 (SP1버전포함)
- (Windows 95, Windows 98,Windows NT 4.0)
- Outlook 98 (Windows 95, Windows 98 , Microsoft Windows NT4.0)
- Outlook Express 4.01 (Solaris)
- dtmail/mailtool (Solaris)
- pine v4.02 ※ pine v4.02a 로 패치됨
- Outlook Express 4.01 (Macintosh)
- Netscape Messenger (Mail) v4.05, or 4.5b1 (Windows)
- HP의 dtmail
- Mutt v0.93.1(i) ※ v0.93.2(i)로 패치됨
4. 대책
패치정보
Outlook 98
http://officeupdate.microsoft.com/DistribDownload/outptch2ddl.htm
Outlook Express
http://www.Microsoft.com/ie/download에서 Internet Explorer 4.01로 업데이트한 후 http://www.microsoft.com/ie/security/oelong.htm에서 패치를 받는다.
Windows 98 사용자
http://windowsupdate.microsoft.com
Netscape Communicator
http://home.netscape.com/download/su1.html
http://home.netscape.com/products/security/resources/bugs/longfile.html
메일에이전트를 이용한 대책
메시지를 필터링하거나 처리전에 관련버그를 탐지하는 기능을 가진 수정된 메일전송에이전트(MTA)를 설치한다.
Sendmail http://www.sendmail.com/sendmail.8.9.1a.html
procmail filters http://www.wolfenet.com/~jhardin/procmail-security.html
5. 관련정보
http://www.microsoft.com/security/bulletins/ms98-008.htm
http://www.microsoft.com/presspass/press/1998/jul98/securpr.htm
http://www.microsoft.com/ie/security
http://www.microsoft.com/ie/security/oelong.htm
http://www.microsoft.com/security/bulletins/emailfaq.htm
http://ntbugtraq.ntadvice.com/Editorials/newworm.asp
http://www.ciac.org/ciac/bulletins/i-077a.shtml
http://home.netscape.com/products/security/resources/notes.html
http://www.microsoft.com/security/bulletins/ms98-008.htm
http://www.eu.microsoft.com/presspass/press/1998/Jul98/SecurPr.htm
6. 관련뉴스
San Jose Mercury news
http://www.mercurycenter.com/business/tech/docs/security072898.htm
Wired
http://www.wired.com/news/news/technology/story/14034.html
New York Times
http://www.nytimes.com/library/tech/98/07/biztech/articles/29email-flaw.html
CNN (Reuters)
http://www.cnn.com/TECH/computing/9807/28/internet.security.reut
PC World
http://www.pcworld.com/pcwtoday/article/0,1510,7559,00.html
PC Week
http://www.zdnet.com/pcweek/news/0727/28abug.html
MacWeek
http://macweek.zdnet.com/1229/nw_email.html
TechWeb (Reuters)
http://www.techweb.com/internet/story/reuters/REU19980728S0004
ABCNEWS.com
http://www.abcnews.com/sections/tech/CNET/cnet_emailsec0728.html
Time
http://cgi.pathfinder.com/time/daily/0,1237,101980730-email,00.html
USA Today
http://www.usatoday.com/money/mds027.htm
Star Tribune
http://webserv1.startribune.com/cgi-bin/stOnLine/article?thisSlug=BUG31
CNET News.Com
http://www.news.com/News/Item/0,4,24721,00.html?st.ne.ni.lh
http://www.infoworld.com/cgi-bin/displayStory.pl?980728.ehbugs.htm
첨부 1.Outlook MIME 오버플로우 시험 및 결과 화면
From: satan@outlook.overflow
To: kadosu@certcc.or.kr
Subject: test1
MIME-Version: 1.0
Content-Type: MULTIPART/MIXED; BOUNDARY="204-1969819122-901726347=:19806"
This message is in MIME format. The first part should be readable text,
while the remaining parts are likely unreadable without MIME-aware tools.
Send mail to mime@docserver.cac.washington.edu for more info.
--204-1969819122-901726347=:19806
Content-Type: TEXT/PLAIN; charset=US-ASCII
test
--204-1969819122-901726347=:19806
Content-Type: TEXT/PLAIN; charset=US-ASCII
Content-Disposition:attachment; filename=AAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA...............
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
Don't read this text file
--204-1969819122-901726347=:19806--
::::::::::::::
testov.result
::::::::::::::
cert% id
uid=102(kadosu) gid=10(staff)
cert% /usr/lib/sendmail -t < testov.txt
cert%
관련자료
-
이전
-
다음
