English

◀◁ 뒤로 취약점ID 29031 위험도 40 포트 161 프로토콜 UDP 분류 CISCO 상세설명 해당 Cisco IOS는 TFTP 긴 파일명 취약점(Cisco 버그 ID CSCdy03429)을 가지고 있다. 이 취약점을 성공적으로 도용하면 디바이스가 재-초기화하는 동안 가용성의 상실을 초래하는 디바이스의 소프트웨어 리셋을 유발할 수 있다. 반복적인 도용은 이 취약점에 대한 완전한 조치를 취하기 전까지 서비스거부를 초래할 수 있다. TFTP (Trivial File Transfer Protocol)는 네트워크로 연결된 디바이스들 간에 쉽게 파일들을 전송할 수 있게 해 주는 프로토콜이다. 취약점은 Cisco IOS가 TFTP 서버 역할을 하도록 설정되어 있을 때 TFTP 읽기 요청 내에 있는 파일명들의 처리과정에 존재한다. 잘 조작된 읽기 요청을 보냄으로써 TFTP 서버에 버퍼 오버플로우를 유발시킬 수 있다 (서비스되는 모든 파일들에 대한 별칭 명(alias)이 정의되어 있지 않을 때). 이 취약점은 원격으로 도용될 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 시스템의 버전정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. 이 점검항목은 또한 버전정보를 수집하기 위하여 읽기 권한의 SNMP Community 문자열을 필요로 한다. 이를 위해서는 정책 편집기에서 점검항목 "snmp/guessable/r"에 타당한 Community 문자열을 추가하여야 한다. * 참고 사이트: http://www.cisco.com/warp/public/707/ios-tftp-long-filename-pub.shtml * 영향을 받는 플랫폼: Cisco IOS software versions 11.1, 11.2, 11.3 해결책 취약한 릴리즈들인 11.1, 11.2, 그리고 11.3은 수명이 끝났다. 따라서 이 제품들은 유지보수가 되지 않으며 또한 Fix가 나오지 않는다. 만약 이 버전들이 사용되고 있다면 다음 조치방법들을 따라야 한다. 이 문제점에 대한 조치방법으로는 두가지 방법이 알려져 있다: 1. TFTP 서버를 완전히 작동 중지시킨다. Cisco IOS는 다른 TFTP 서버가 가용하지 않을 때 Cisco IOS 이미지들의 전송을 위한 설비로 TFTP 서버 기능을 제공한다. 만약 TFTP 서버 기능이 현재 필요하지 않다면 다음과 같은 절차에 따라 TFTP 서버를 작동중지 시킬 수 있다. a) 라우터에서 Enable 모드로 들어간 다음 'show running-config' 명령을 내리고 'tftp-server'로 시작하는 라인을 찾는다. b) 'tftp-server'로 시작하는 config에 있는 각각의 라인에 대해서, 이 엔트리를 제거하기 위해 이 라인의 모든 문장을 'no' 단어와 하나의 공백문자 뒤에 덧붙여 명령을 내린다. 이 단계는 config의 일치하는 각각의 라인에 대해 반복하여 수행한다. c) 일단 위의 작업이 완료되고 나면, Enable 프롬프트에서 'show running-config' 명령으로 'tftp-server'로 시작하는 라인이 없는지를 검증한다. d) 검증이 끝나면 새로운 설정을 저장하고 서버를 리셋시 적용이 되도록 한다. 2. TFTP 서버 파일명들에 대한 별칭명(aliases)을 둔다. Cisco IOS는 긴 파일명을 짧은 파일명으로 별칭할 수 있는 기능을 제공하고 있다. 만약 설정에 있는 tftp-server 엔트리들이 엔트리 내에 "alias" 라는 키워드를 가지고 있다면 라우터는 이 취약점에 취약하지 않다. 이 조치방법을 구현하기 위해서는 위의 TFTP 서버 작동중지에 있는 지시들을 따른다. 그리고 나서 config에 어떤 설정 라인들을 추가하여야 한다. 즉, 다음 명령과 같이 뒤에 짧은 파일명이 따르는 "alias" 키워드를 덧붙인 라인들이 추가되어야 한다. tftp-server flash rsp-jv-mz.111-24a alias CiscoIOS * 알림: 이것은 설정에 있는 "tftp-server"로 시작하는 모든 라인에 대해 행해져야 한다. 취약한 소프트웨어 버전이 작동하는 장비의 설정에서 alias가 정의되지 않는 "tftp-server"로 시작하는 라인이 하나라도 존재한다면 이 취약점에 취약해 진다. 자세한 내용은 다음 사이트에서 볼 수 있다: http://www.cisco.com/warp/public/707/ios-tftp-long-filename-pub.shtml 관련 URL CVE-2002-0813 (CVE) 관련 URL 5328 (SecurityFocus) 관련 URL (ISS)