TFTP 프로토콜을 이용한 긴 파일네임전송 취약점
작성자 정보
- 김선달 작성
- 작성일
컨텐츠 정보
- 1,959 조회
- 0 추천
- 목록
본문
----------------------
최초작성일 : 2002-07-29
갱 신 일 :
출 처 : CIAC
작 성 자 : 강준구(jgkang@certcc.or.kr)
-- 제목 --------------
TFTP 프로토콜을 이용한 긴 파일네임전송 취약점
-- 해당 시스템 --------
Cisco IOS software versions 11.1, 11.2, 11.3
--영향-----------------
원격의 공격자가 이 취약점을 이용하여 공격에 성공을 하게되면 IOS
소프트웨어에 설정한
내용들이 다시 디폴트값을 갖게 된다. 반복하여 이와 같은 공격을 받게 되면
결국 해결책이
적용되기 전까지 서비스 거부공격을 받는 결과를 초래한다.
-- 설명---------------
공격자는 조작된 TFTP read request를 보내어 상호 전송되는 파일들에 대한
상호 알리아스가
정의되어진 상태가 아닐 때 TFTP 서버에 버퍼오버플로를 야기 시킬 수 있다.
-- 해결책---------------
해결책 I
TFTP 서버를 완전히 Disable하는 방법
상대방의 TFTP 서버가 존재하지 않을 때 Cisco IOS 이미지를 전송하는 TFTP
서버 기능을 Cisco IOS가 제공한다.
만약 이와 같은 TFTP서버 기능이 불필요한 경우에는 다음과 같은 절차를 따라
disable 시켜라.
1. 라우터가 enable 모드인 경우, running-config를 보여주는 명령어를
참조하여 tftp-서버로 시작하는 라인을 찾아라.
2. 환경 설정하는 라인에 엔트리를 제거할 수 있는 config 모드의 matching
line을 텍스트로 빈 공간 없이 채운다.
3. TFTP서버의 프롬프트에서 running-config를 보여주는 명령어를 참조하지
않도록 설정한다.
4. 새로 구축한 환경설정을 저장하면 reset에 대한 기능이 제거될 것이다.
해결책 II
TFTP서버의 파일네임 알리아스(Alias)를 적용
만약 TFTP서버에 알리아스라는 키워드가 설정파일 엔트리에 있다면 이를
이용하여 공격을 막을 수 있다.
일단 긴 파일이름을 짧은 파일이름으로 알리아스를 시켜준다면 취약점이
존재하지 않다. 그런데, 환경설정에서
tftp-server라고 하는 모든 라인에 적용을 시켜야 한다는 것이다.
알리아스가 적용이 안된 명령어가 존재한다면
여전히 취약점에 노출되어 있다.
알리아스 적용 방법
tftp-server flash rsp-jv-mz.111-24a alias CiscoIOS
해결책 III
취약점이 존재하지 않은 버전으로의 업그레이드를 원하는 사람은 개별적으로
Cisco retailer와 컨택을 해야한다.
http://www.cisco.com를 방문하면 좀 더 자세한 사항을 알 수 있다.
------- 참조 사이트 --------------------------
at http://www.cisco.com/warp/public/707/ios-tftp-long-filename-pub.shtml
http://www.cisco.com/warp/public/707/sec_incident_response.shtml
http://www.cisco.com/warp/public/687/Directory/DirTAC.shtml
http://www.cisco.com
--------------------------------------------
--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118) Email: cert@certcc.or.kr
==============================================================
--
-+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-
강 준 구(Jungu Kang)연구원
KISA(Korea Information Security Agency)
CERT(Computer Emergency Responce Team) * Coordination Center
E-Mail : jgkang@certcc.or.kr / [Phone] 02-405-5526 (+82-2-405-5526)
[PGP Public Key - http://www.certcc.or.kr/teampub.txt]
Web Site : http://www.certcc.or.kr, http://www.cyber118.or.kr
-+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-----+-
관련자료
-
이전
-
다음
