리눅스 분류
셧다운시 발생하는 에러 메시지 자세한 설명 부탁 드립니
작성자 정보
- 김성수 작성
- 작성일
컨텐츠 정보
- 830 조회
- 0 추천
- 목록
본문
======================
KA-2002-044 : Heap Overflow in Cachefs Daemon (cachefsd)
----------------------
최초작성일 : 2002/05/07
갱 신 일 :
출 처 : CERT/CC
작 성 자 : 강준구, jgkang@certcc.or.kr
-- 제목 --------------
Cachefs 데몬의 Heap 오버플로 취약점
-- 해당 시스템 --------
Sun Solaris 2.5.1, 2.6, 7, 그리고 8 (SPARC와 Intel 기반)
-- 설명---------------
이 취약점으로 인하여 원격으로 공격자가 cachefsd의 권한(특히 root 권한)으로 임의의 명령어를 수행할 수 있다.
Sun의 NFS/RPC 파일시스템의 cachefs 데몬은 썬 솔라리스 2.5.1, 2.6, 7, 그리고 8(SPARC and Intel 기반)에
기본으로 탑재되어 있다. CERT/CC는 cachefsd를 실행하는 솔라리스 시스템에서 이미 믿을만한 침입시도 정보를 입수하였다.
썬 솔라리스에 기본으로 탑재되어 있는 cachefsd 프로그램에 원격 침입이 가능한 heap 오버플로가 존재한다.
cachefsd는 NFS 프로토콜을 이용하여 마운트되어진 원격 파일 시스템에 대한 요구를 처리(cache)한다.
이때, 원격 공격자는 조작된 RPC 요구를 cachefsd 프로그램에 보내어 이 취약점을 공격할 수 있다.
수집될 수 있는 침입시도 로그:
May 16 22:46:08 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Segmentation Fault - core dumped
May 16 22:46:21 victim-host last message repeated 7 times
May 16 22:46:22 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Bus Error - core dumped
May 16 22:46:24 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Segmentation Fault - core dumped
May 16 22:46:56 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Bus Error - core dumped
May 16 22:46:59 victim-host last message repeated 1 time
May 16 22:47:02 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Segmentation Fault - core dumped
May 16 22:47:07 victim-host last message repeated 3 times
May 16 22:47:09 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Hangup
May 16 22:47:11 victim-host inetd[600]: /usr/lib/fs/cachefs/cachefsd: Segmentation Fault - core dumped
썬에 따르면, 침입시도 실패에 따른 로그는 루트 디렉토리 안에 코어 덤프 파일을 남길 수 있으므로, 코어 파일
상태는 연속적 공격을 탐지할 수 있게 한다. 게다가, /etc/cachefstab파일이 존재한다면 이것은 불법 행위 엔트리를
포함 할 지도 모른다.
--영향-----------------
원격 공격자는 이 취약점을 이용하여 cachefsd 프로세스 권한(특히 root 권한)으로 임의의 명령어를 수행할 수 있다.
-- 해결책---------------
1. 각 벤더사들의 패치를 적용하라.(CERTCC-KR에서는 현재 패치가 없는 것을 확인하였다.)
2. 만약 패치가 없다면, inetd.conf의 cachefsd을 disable 시켜라.
3. cachefsd를 disable 하는 것이 옵션이 아니라면, Sun Alert Notification에서 제공하는 해결방안을 따라 해결하라.
Sun http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F44309
------- 참조 사이트 --------------------------
http://www.cert.org/advisories/CA-2002-11.html
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F44309.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0084
http://www.auscert.org.au/Information/Advisories/advisory/AA-2002.01.txt --------------------------------------------
--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118) Email: cert@certcc.or.kr
==============================================================
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
