본문 바로가기
프로그램개발/Linux(Apache.vim)

bash 관련 보안 취약점

by 크레도스 2014. 9. 26.

출처: http://sir.co.kr/bbs/board.php?bo_table=cm_free&wr_id=1057451


bash 보안 취약점때문에 난리인 것 같습니다.

관련기사 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140925112954

centos 등은 yum을 이용해 bash 패키지를 업데이트하면 해결할 수 있습니다.

쉘상에서 $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 를 실행했을 때

vulnerable

this is a test

라고 출력되면 빨리 패치를 하셔야 합니다. 패치가 됐을 때는 this is a test 만 출력됩니다.


========추가

현재 bash를 사용하는 곳이 어마무시한데...

환경변수 접근으로 시스템 권한이나 프로그램 실행등이 가능한 버그가 생겨서

heartbleed버그와 맞먹는 위협으로 등장했는데

bash yum으로 패치하고 다시 확인해보니...

불완전한 패치네요 다른방식의 스크립트로 또 뚫리고...


다른 분들 어떻게 대응하셨나 궁금합니다.

관련 내용......


리눅스와 유닉스 환경에서 많이 쓰이는 셸 프로그램 '배시(Bash)'에 중대한 보안취약점이 발견됐다. 셸 명령어를 실행하는데 사용되는 배시의 취약점을 이용해 해커가 관리자권한 인증없이 서버를 제어할 수 있다는 것이다.

24일(현지시간) 미국 지디넷에 따르면, 리눅스와 유닉스 기반 운영체제(OS)에서 쓰이는 명령어 번역기 '배시'에 중대 보안 버그가 발견됐다.

배시 4.3버전에서 발견된 이 버그는 해커가 원격에서 접속, 시스템에 명령어를 날려 변화를 가할 수 있도록 한다. 서버에 대한 심각한 공격에 악용될 수 있다는 것이다. 허락되지 않은 정보를 공개하거나, 시스템을 수정하고, 서비스를 파괴할 수 있는 것으로 알려졌다. 


레드햇의 보안팀은 "특정 서비스와 애플리케이션이 인증되지 않은 공격자에게 환경 변화를 허용한다'며 "이 이슈를 해커가 악용할 수 있다"고 경고했다.

배시는 전세계적으로 매우 많이 활용되는 시스템 셸이다. 이 취약점의 영향권든 OS는 여러 리눅스 배포판뿐 아니라 유닉스계열인 맥 OS X까지 아우른다.

애플리케이션은 배시에서 웹HTTP나 커먼게이트웨이인터페이스(CGI)를 통해 데이터를 입력하는 방법으로 실행된다. 이를 통해 웹서버를 해킹할 수 있다. 해커가 서버를 파괴할 수도 있다.

아카마이 최고보안책임자(CSO) 앤디 엘리스는 "이 취약점은 셸을 통해 다른 사용자 인풋과 다른 애플리케이션을 불러오는 많운 애플리케이션에 영향을 준다"고 설명했다.

데비안 계열인 우분투는 배시 대신 '대시(Dash)'를 사용하므로 이 취약점을 갖지 않는다.

24일 배시 개발자들은 3.0부터 4.3까지 현존하는 모든 버전에 패치를 배포했다. 현 시점에 데비안과 레드햇이 자신들의 패키지에 이 패치를 적용했다.

사용자는 우선 현재 시스템의 셸 프로그램이 배시인지 확인해야 한다. 설치됐을 경우 최신 패치를 설치하거나, 다른 명령어 입력수단으로 바꿔야 한다.

아카마이는 배시 대신 다른 셸로 교체할 것을 조언했다. 하지만 동일한 구문과 기능을 사용할 수 있는 대안 셸은 없다.

배시 취약점에 대해 일부 외신은 "하트블리드 취약점보다 더 큰 재앙이 될 수 있다"고 위험성을 경고했다.

관련 ars technica 글 링크 : http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/

the register 글 링크 : http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/

사용하는 리눅스 나 osx에서 bash 관련 버젼인지 테스트 하는 쉘은...

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

시스템에 취약점 존재시 결과값 :

vulnerable
 this is a test

영향이 없거나 패치되었을때의 결과 값:

 bash: warning: x: ignoring function definition attempt
 bash: error importing function definition for `x'
 this is a test
이라고 하니 테스트 진행 후 redhat 계열 centOS경우는 yum으로 bash를 업데이트 처리 하면 될 거 같습니다.
레드헷 관련 bash 관련 취약점 링크 : http://lists.centos.org/pipermail/centos/2014-September/146099.html
====================================================================================================
추가 내용입니다.
위 bash 관련 패치가 불완전하다는 보고들이 올라오고 있네요..
http://www.theregister.co.uk/2014/09/25/shellshock_bash_worm_type_fears/
레거시 시스템에서 패치는 좀 더 복잡하네요.. ㅠ_ㅠ


            



                    

  



  



  





    
        
            저작자표시 비영리 변경금지 
        
        (새창열림)
    


  




                    


  
'프로그램개발 > Linux(Apache.vim)' 카테고리의 다른 글

  

    

      ls 명령어 사용시 날짜형식 변경하기  (0)
      2014.12.11
    

    

      복잡하고 어려운 라이센스 한번에 정리   (0)
      2014.10.13
    

    

      rsync이용한 예제  (0)
      2014.06.04
    

    

      기존 php가 컴파일된 상태에서 추가로 soap 설치 방법  (0)
      2014.05.16
    

    

      내가 사용하는 vimrc 설정파일+플러그인압축(보관용)  (0)
      2014.05.15
    

  






      


      

      
        

          
관련글

          
        

      

      

        

      

    

  
        
    

            


            

            

            

            

          

          
        

      

      

      
    

  
  


  
티스토리툴바