English

◀◁ 뒤로 취약점ID 23050 위험도 40 포트 2401 프로토콜 TCP 분류 CVS 상세설명 해당 CVS 서버의 버전 정보에 따르면 서버는 공격자가 취약한 시스템 상에 대해 Shell을 획득할 수 있는 Double Free() 취약점을 가지고 있다. CVS (Concurrent Versions System)은 대부분의 Linux와 Unix 기반의 운영체제에 적용 가능한 공개 소스의 소스코드 관리 및 배포 시스템이다. CVS 버전 1.11.4 이하 버전들은 원격지의 공격자가 동적으로 할당된 메모리 세그먼트들이 두번 할당해제 되도록 할 수 있다. 이 취약점을 도용함으로써, 취약한 CVS 서버에 대한 익명의 읽기 권한을 가진 원격지의 공격자는 임의의 코드의 실행, 서버 프로그램 작동의 교란, 중요한 정보 읽기, 서비스 거부 공격 유발 등을 이끌어 낼 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 CVS 서버의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.cert.org/advisories/CA-2003-02.html http://www.kb.cert.org/vuls/id/650937 http://archives.neohapsis.com/archives/bugtraq/2003-01/0262.html * 영향을 받는 플랫폼: CVS (Concurrent Versions System) 1.11.4 이하 Linux Any version UNIX Any version 해결책 다음 CVS 웹 페이지에서 CVS의 가장 최신 버전(1.11.5 혹은 이후)을 구하여 업그레이드 하여야 한다: http://ftp.gnu.org/non-gnu/cvs/ FreeBSD의 경우: 다음 FreeBSD사 Security Advisory FreeBSD-SA-03:01.cvs를 참조하여 이 취약점에 대한 적절한 패치를 적용한다: http://www.linuxsecurity.com/content/view/104580/170/ Red Hat Linux의 경우: 다음 Red Hat Security Advisory RHSA-2003:012-09를 참조하여 가장 최신의 CVS 패키지로 업그레이드 하여야 한다: http://rhn.redhat.com/errata/RHSA-2003-012.html Debian GNU/Linux의 경우: 다음 Debian Security Advisory DSA-233-1을 참조하여 가장 최신의 cvs 패키지로 업그레이드 하여야 한다: http://www.debian.org/security/2003/dsa-233 SuSE Linux의 경우: 다음 SuSE Security Announcement SuSE-SA:2003:0007을 참조하여 가장 최신의 cvs 패키지로 업그레이드 하여야 한다: http://www.suse.com/support/security/advisories/2003_007_cvs.html Sun Linux 5.0.3의 경우: 다음 Sun Alert Notification 50439를 참조하여 가장 최신의 cvs 패키지(1.11.1p1-8.7 혹은 이후)로 업그레이드 하여야 한다: https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1000021.1 Gentoo Linux의 경우: 다음 Gentoo Linux Security Announcement 200301-12를 참조하여 가장 최신의 cvs 버전(cvs-1.11.5r 혹은 이후)로 업그레이드 하여야 한다: http://www.linuxsecurity.com/content/view/104530/170/ 기타: 벤더에 문의하여 패치나 업그레이드 정보를 구하여야 한다. 혹은 다음 CERT Advisory CA-2003-02를 참조한다: http://www.cert.org/advisories/CA-2003-02.html 관련 URL CVE-2003-0015 (CVE) 관련 URL 6650 (SecurityFocus) 관련 URL 11108 (ISS)