- This topic has 0개 답변, 1명 참여, and was last updated 10 years, 11 months 전에 by
태랑. This post has been viewed 3294 times
-
-
개요
- 리눅스 계열 등 운영체제에서 사용중인 GNU Bash에서 발생하는 임의코드 실행 취약점 (CVE-2014-6271) 보안 업데이트를 우회하여 악용할 수 있는 취약점 발생 (CVE-2014-7169)
- 공격자는 해당 취약점이 존재하는 시스템을 대상으로 원격에서 악의적인 시스템 명령을 실행시킬 수 있으므로 해결방안에 따라 보안 업데이트 적용 권고
해당 시스템
- 영향 받는 시스템
- GNU Bash를 사용하는 시스템
해결방안
- 해당 취약점에 대한 보안업데이트가 공개된 OS를 운영하고 있을 경우, 참고사이트의 내용을 참조하여 보안업데이트 수행
- CentOS [1]
- Debian [2]
- Redhat [3]
- Ubuntu [4]
용어 정리
- Shell : 사용자가 입력한 문장을 해석하여 시스템 기능을 수행하는 명령어 해석기
기타 문의사항
- 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] http://lists.centos.org/pipermail/centos/2014-September/146154.html
[2] https://www.debian.org/security/2014/dsa-3035
[3] https://rhn.redhat.com/errata/RHSA-2014-1306.html
[4] http://www.ubuntu.com/usn/usn-2363-2/▣ 취약점 확인 및 업데이트 방법
* 버전 확인 방법
# rpm -qa | grep bash
bash-4.1.2-9.el6_2.x86_64
* 취약점 확인 방법
# env x='() { :;};
echo vulnerable' bash -c 'echo this is a test'vulnerable
this is a test=> "vulnerable" 문구가 나오면 업데이트해 주셔야 합니다.
* 업데이트 방법
- CentOS : # yum update bash
- Ubuntu : # apt-get install only-upgrade bash
* 업데이트 후 확인 방법
# env x='() { :;};
echo vulnerable' bash -c 'echo this is a test'this is a test
=> "vulnerable" 나오지 않으면 정상
참고할 사이트
동영상을 봤을때 매우 위력적인 버그 입니다.
http://www.youtube.com/watch?v=sbs13heMGLI
http://www.youtube.com/watch?v=w7gMjldrYho
http://cafe.naver.com/sec/14714
http://teamcrak.tistory.com/379
2014-09-29 추가 내용
Fedora 12, Fedora 13, Fedora 14, Fedora 15, Fedora 16, Fedora 17, Fedora 18, or Fedora 19
or even RHEL 3 or RHEL 4위에 나열된 것 과 같이 Old 버전일 경우 BASH source 에 Patch 직접 적용한 후 컴파일 하여 사용 하시면 되며
해당 내용은 아래 링크에 자세히 나와있으니 참고 하시기 바랍니다.페도라 한국 사용자 모임은 해당 버그를 해결 한 상태 입니다.
오픈소스를 응원합니다 Blog https://hoing.io
Senior Database Administrator(MySQL, Oracle)사이트 이용 문의 사항은 댓글이나 admin@fedoralinux.or.kr 로 메일주세요
- 답변은 로그인 후 가능합니다.