시스템관리자의 쉼터 커피닉스 커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳
 FAQFAQ   검색검색   멤버리스트멤버리스트   사용자 그룹사용자 그룹   사용자 등록하기사용자 등록하기 
 개인 정보개인 정보   비공개 메시지를 확인하려면 로그인하십시오비공개 메시지를 확인하려면 로그인하십시오   로그인로그인 

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..




BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시
Sendmail 원격 취약점있음. 최신 8.12.9까지

 
글 쓰기   답변 달기    커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보
이전 주제 보기 :: 다음 주제 보기  
글쓴이 메시지
truefeel
카페 관리자


가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올리기올려짐: 2003.9.18 목, 4:49 am    주제: Sendmail 원격 취약점있음. 최신 8.12.9까지 인용과 함께 답변

BugTraq에 17일(우리 시간으로는 언제인지..) 발표됐습니다.
룰셋 파싱과 주소 파싱 부분.
원격에서 exploit 가능할 거라고 합니다. 참 애매한 표현입니다.
로컬은 가능하구요.

Remote attack is believed to be possible.

방금 sendmail 홈피도 업데이트됐습니다.
http://www.sendmail.org/8.12.10.html

ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.gz
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.gz.sig
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.Z
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.12.10.tar.Z.sig

CERT 등에서 권고문이 어떻게 나올지 지켜봐야겠습니다.
현재까지 알려진 것은 securityfocus.com에서
http://securityfocus.com/archive/1/337839/2003-09-14/2003-09-20/0

------------------------------------------------------
To: BugTraq
Subject: Sendmail 8.12.9 prescan bug (a new one) [CAN-2003-0694]
Date: Sep 17 2003 9:19AM
Author: Michal Zalewski <lcamtuf dione ids pl>
Message-ID: <Pine.LNX.4.44.0309162201480.11655-100000@dione.ids.pl>

Hello lists,

--------
Overview
--------

There seems to be a remotely exploitable vulnerability in Sendmail up to
and including the latest version, 8.12.9. The problem lies in prescan()
function, but is not related to previous issues with this code.

The primary attack vector is an indirect invocation via parseaddr(),
although other routes are possible. Heap or stack structures, depending
on the calling location, can be overwritten due to the ability to go
past end of the input buffer in strtok()-alike routines.

This is an early release, thanks to my sheer stupidity.

... 생략 ...
위로
사용자 정보 보기 비밀 메시지 보내기 글 올린이의 웹사이트 방문
게스트
손님





올리기올려짐: 2003.9.18 목, 7:00 pm    주제: 그럼 이전 버전 사용자들은 어케해야되나요 ? 인용과 함께 답변

ftp에 있는 파일 다운로드해서 어케 해야하는지 과정좀 적어주세요.

아주 사소한 과정까지 필요합니다.

음 두렵다.
위로
truefeel
카페 관리자


가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올리기올려짐: 2003.9.18 목, 8:26 pm    주제: Re: 사소한 보안 문제인 듯. 해당 OS 홈에서 업데이트하세요. 인용과 함께 답변

게스트 씀:
ftp에 있는 파일 다운로드해서 어케 해야하는지 과정좀 적어주세요.

아주 사소한 과정까지 필요합니다.

음 두렵다.


그리 큰 보안문제는아닌 것 같습니다.
CERT 등에도 권고문이 올라오지 않는 것으로 봐서는 사소한 것으로 생각을 하는 듯.
정확히 원격에서 attack할 수있다는 것도 아니고 그럴 가능성이 있다는 것 같다라는 글입니다.
sendmail.cf를 수정해서 룰셋을 변경한 경우가 아니라면 다행이라는 겁니다.
" 보안상의 문제는 있다. 그러나 사소하다. " 지금까지의 결론일 듯(?)
-----------------------------------------------------------------------------

레드햇을 사용하신다면 up2date 실행해서 업데이트 하세요.
up2date 가 뭔지 모르시면
https://rhn.redhat.com/errata/RHSA-2003-283.html 에서 해당 버전의
sendmail-*.i386.rpm 파일을 받아오세요.
그런 다음 받은 rpm 을 rpm -Fvh 명령어로 업데이트를 하면 됩니다.

rpm -Fvh sendmail-*


truefeel 가 2003.9.19 금, 1:20 am에 수정함, 총 1 번 수정됨
위로
사용자 정보 보기 비밀 메시지 보내기 글 올린이의 웹사이트 방문
truefeel
카페 관리자


가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올리기올려짐: 2003.9.19 금, 1:19 am    주제: sendmail에 대한 CERT권고문이 나왔네요. 인용과 함께 답변

CERT에 권고문이 올라왔네요.

http://www.cert.org/advisories/CA-2003-25.html

전에 올라온거랑 거짐 비슷합니다.
UNIX/LINUX의 대부분의 시스템에서 sendmail을 사용하고 있고
주소 파싱하는 코드에 취약점이 있다는 겁니다. attacker가 prescan() 함수 문제로 버퍼 맨뒷부분에 써서
권한을 얻을 수 있다는 겁니다.
또한 attacker가 교묘한 형태의 메일 메시지를 통해서 임의의 코드를 실행할 수도 있답니다.

인용:

I. Description

Sendmail is a widely deployed mail transfer agent (MTA). Many UNIX and Linux systems provide a sendmail implementation that is enabled and running by default. Sendmail contains a vulnerability in its address parsing code. An error in the prescan() function could allow an attacker to write past the end of a buffer, corrupting memory structures. Depending on platform and operating system architecture, the attacker may be able to execute arbitrary code with a specially crafted email message.

This vulnerability is different than the one described in CA-2003-12.

The email attack vector is message-oriented as opposed to connection-oriented. This means that the vulnerability is triggered by the contents of a specially crafted email message rather than by lower-level network traffic. This is important because an MTA that does not contain the vulnerability may pass the malicious message along to other MTAs that may be protected at the network level. In other words, vulnerable sendmail servers on the interior of a network are still at risk, even if the site's border MTA uses software other than sendmail. Also, messages capable of exploiting this vulnerability may pass undetected through packet filters or firewalls.


OS별로 업데이트 목록이 있습니다. 맨드레이크 배포판도 패치가 올라왔다고 그러는데 이 권고문에는
안나와 있네요.
위로
사용자 정보 보기 비밀 메시지 보내기 글 올린이의 웹사이트 방문
이전 글 표시:   
글 쓰기   답변 달기    커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보 시간대: GMT + 9 시간(한국)
페이지 11

 
건너뛰기:  
새로운 주제를 올릴 수 있습니다
답글을 올릴 수 있습니다
주제를 수정할 수 없습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다


Powered by phpBB © 2001, 2005 phpBB Group