FREEDOM. FRIENDS. FEATURES. FIRST. 페도라 한국 사용자 모임

Bourne Again Shell (Bash) 임의코드 실행 취약점 보안 업데이트 권고 (2차)

게시판 새소식/정보 Bourne Again Shell (Bash) 임의코드 실행 취약점 보안 업데이트 권고 (2차)

  • This topic has 0개 답변, 1명 참여, and was last updated 11 years, 9 months 전에 by 태랑. This post has been viewed 3467 times
  • #16699
    태랑
    키 마스터
      게시글308 댓글1086 총합1394
    @admin
     

    개요

    • 리눅스 계열 등 운영체제에서 사용중인 GNU Bash에서 발생하는 임의코드 실행 취약점 (CVE-2014-6271) 보안 업데이트를 우회하여 악용할 수 있는 취약점 발생 (CVE-2014-7169)
    • 공격자는 해당 취약점이 존재하는 시스템을 대상으로 원격에서 악의적인 시스템 명령을 실행시킬 수 있으므로 해결방안에 따라 보안 업데이트 적용 권고

    해당 시스템

    • 영향 받는 시스템
      • GNU Bash를 사용하는 시스템

    해결방안

    • 해당 취약점에 대한 보안업데이트가 공개된 OS를 운영하고 있을 경우, 참고사이트의 내용을 참조하여 보안업데이트 수행
      • CentOS [1]
      • Debian [2]
      • Redhat [3]
      • Ubuntu [4]

    용어 정리

    • Shell : 사용자가 입력한 문장을 해석하여 시스템 기능을 수행하는 명령어 해석기

    기타 문의사항

    • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

    [참고사이트]
    [1] http://lists.centos.org/pipermail/centos/2014-September/146154.html
    [2] https://www.debian.org/security/2014/dsa-3035
    [3] https://rhn.redhat.com/errata/RHSA-2014-1306.html
    [4] http://www.ubuntu.com/usn/usn-2363-2/

    ▣ 취약점 확인 및 업데이트 방법

    * 버전 확인 방법

    # rpm -qa | grep bash

    bash-4.1.2-9.el6_2.x86_64

    * 취약점 확인 방법

    # env x='() { :;};
    echo vulnerable' bash -c 'echo this is a test'

    vulnerable
    this is a test

    => "vulnerable" 문구가 나오면 업데이트해 주셔야 합니다.

    * 업데이트 방법

    - CentOS : # yum update bash

    - Ubuntu : # apt-get install only-upgrade bash

     

    * 업데이트 후 확인 방법

    # env x='() { :;};
    echo vulnerable' bash -c 'echo this is a test'

    this is a test

    => "vulnerable" 나오지 않으면 정상

    참고할 사이트

    동영상을 봤을때 매우 위력적인 버그 입니다.

    http://www.youtube.com/watch?v=sbs13heMGLI

    http://www.youtube.com/watch?v=w7gMjldrYho

    http://cafe.naver.com/sec/14714

    http://teamcrak.tistory.com/379

    2014-09-29 추가 내용
    Fedora 12, Fedora 13, Fedora 14, Fedora 15, Fedora 16, Fedora 17, Fedora 18, or Fedora 19
    or even RHEL 3 or RHEL 4

    위에 나열된 것 과 같이 Old 버전일 경우 BASH source  에 Patch 직접 적용한 후 컴파일 하여 사용 하시면 되며
    해당 내용은 아래 링크에 자세히 나와있으니 참고 하시기 바랍니다.

    http://stevejenkins.com/blog/2014/09/how-to-manually-update-bash-to-patch-shellshock-bug-on-older-fedora-based-systems/

    페도라 한국 사용자 모임은 해당 버그를 해결 한 상태 입니다.

    오픈소스를 응원합니다 Blog https://hoing.io
    Senior Database Administrator(MySQL, Oracle)

    사이트 이용 문의 사항은 댓글이나 admin@fedoralinux.or.kr 로 메일주세요

  • 답변은 로그인 후 가능합니다.

지금 이 순간


리눅스 초보 질문좀요..
[ tip - tech ] 페도라 리눅스에서 사용 가능한 게임 - openra
시험이 끝나도...
처음 뵙겠습니다. 가입 인사 올립니다.
사이트 오픈 및 12버전 릴리즈 결과 발표합니다
Fedora Linux 15 버전이 릴리즈 되었습니다.
/etc/sysconfig/iptables 파일이 보이지 않습니다
리눅스 Xen용 커널 컴파일중 ㅋㅋㅋ
멀티부팅 상태에서 파티션 용량 변경 질문입니다.
새로운 사이트 오픈 완료(Grand Opening)