FREEDOM. FRIENDS. FEATURES. FIRST.
페도라 한국 사용자 모임

Bourne Again Shell (Bash) 임의코드 실행 취약점 보안 업데이트 권고 (2차)

게시판 공지사항 Bourne Again Shell (Bash) 임의코드 실행 취약점 보안 업데이트 권고 (2차)

  • This topic has 0개 답변, 1명 참여, and was last updated 6 years, 3 months 전에 by 태랑. This post has been viewed 20 times
  • 만든이
    게시글
  • #16699
    태랑
    키 마스터
    • 게시글207
    • 댓글878
    • 총합1085
    • ★★
    @admin

    개요

    • 리눅스 계열 등 운영체제에서 사용중인 GNU Bash에서 발생하는 임의코드 실행 취약점 (CVE-2014-6271) 보안 업데이트를 우회하여 악용할 수 있는 취약점 발생 (CVE-2014-7169)
    • 공격자는 해당 취약점이 존재하는 시스템을 대상으로 원격에서 악의적인 시스템 명령을 실행시킬 수 있으므로 해결방안에 따라 보안 업데이트 적용 권고

    해당 시스템

    • 영향 받는 시스템
      • GNU Bash를 사용하는 시스템

    해결방안

    • 해당 취약점에 대한 보안업데이트가 공개된 OS를 운영하고 있을 경우, 참고사이트의 내용을 참조하여 보안업데이트 수행
      • CentOS [1]
      • Debian [2]
      • Redhat [3]
      • Ubuntu [4]

    용어 정리

    • Shell : 사용자가 입력한 문장을 해석하여 시스템 기능을 수행하는 명령어 해석기

    기타 문의사항

    • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118

    [참고사이트]
    [1] http://lists.centos.org/pipermail/centos/2014-September/146154.html
    [2] https://www.debian.org/security/2014/dsa-3035
    [3] https://rhn.redhat.com/errata/RHSA-2014-1306.html
    [4] http://www.ubuntu.com/usn/usn-2363-2/

    ▣ 취약점 확인 및 업데이트 방법

    * 버전 확인 방법

    # rpm -qa | grep bash

    bash-4.1.2-9.el6_2.x86_64

    * 취약점 확인 방법

    # env x='() { :;};
    echo vulnerable' bash -c 'echo this is a test'

    vulnerable
    this is a test

    => "vulnerable" 문구가 나오면 업데이트해 주셔야 합니다.

    * 업데이트 방법

    - CentOS : # yum update bash

    - Ubuntu : # apt-get install only-upgrade bash

     

    * 업데이트 후 확인 방법

    # env x='() { :;};
    echo vulnerable' bash -c 'echo this is a test'

    this is a test

    => "vulnerable" 나오지 않으면 정상


    참고할 사이트

    동영상을 봤을때 매우 위력적인 버그 입니다.

    http://www.youtube.com/watch?v=sbs13heMGLI

    http://www.youtube.com/watch?v=w7gMjldrYho

    http://cafe.naver.com/sec/14714

    http://teamcrak.tistory.com/379

    2014-09-29 추가 내용
    Fedora 12, Fedora 13, Fedora 14, Fedora 15, Fedora 16, Fedora 17, Fedora 18, or Fedora 19
    or even RHEL 3 or RHEL 4

    위에 나열된 것 과 같이 Old 버전일 경우 BASH source  에 Patch 직접 적용한 후 컴파일 하여 사용 하시면 되며
    해당 내용은 아래 링크에 자세히 나와있으니 참고 하시기 바랍니다.

    http://stevejenkins.com/blog/2014/09/how-to-manually-update-bash-to-patch-shellshock-bug-on-older-fedora-based-systems/

    페도라 한국 사용자 모임은 해당 버그를 해결 한 상태 입니다.

    오픈소스를 응원합니다 Blog https://hoing.io
    Senior Database Administrator(Mysql, Oracle)

    사이트 이용 문의 사항은 댓글이나 admin@fedoralinux.or.kr 로 메일주세요

  • 답변은 로그인 후 가능합니다.