English

◀◁ 뒤로 취약점ID 14012 위험도 40 포트 22 프로토콜 TCP 분류 Ssh 상세설명 3.0.2 이전의 OpenSSH 버전들은 로컬 사용자에게 root 권한의 명령 실행을 허용해 줄 수 있는 환경 변수 Export에 취약하다. OpenSSH은 자유롭게 이용가능한 Secure Shell 프로토콜의 오픈소스 구현으로 OpenBSD 팀의 멤버들에 의해 관리된다. OpenSSH이 디폴트가 아닌 UseLogin 환경설정 옵션을 통해 'login'을 사용할 수 있게 설정되어 있다면 로컬 사용자들은 'login' 프로세스에 대한 임의의 환경변수 셋을 가질 수 있다. LD_PRELOAD를 셋하고 악의적인 공유 라이브러리를 생성함으로써 공격자는 root 권한으로 임의의 코드를 수행시킬 수 있다. 이 문제점은 3.0.2 이전의 버전들에 한해 UserLogin 기능이 동작하도록 되어 있을 때 영향을 미친다. (대개는 디폴트로 Disable됨) 해결책 OpenSSH 3.0.2로 업그레이드하거나 이전 버전들에 대한 패치를 설치한다. http://www.openssh.com/ 업그레이드나 패치를 위해서는 다음 사이트를 참고할 수 있다: http://www.securityfocus.com/bid/3614/solution 참조 사이트에서 업그레이드된 패치를 다운로드 할 수 없는 경우 Vender와 상의하여 최신의 OpenSSH로 업그레이드 할 것을 권고한다. 관련 URL CVE-2001-0872 (CVE) 관련 URL 3614 (SecurityFocus) 관련 URL 7647 (ISS)