English

◀◁ 뒤로 취약점ID 17006 위험도 40 포트 111 프로토콜 TCP 분류 RPC 상세설명 해당 시스템에는 Format String 공격에 취약한 Sun rpc.rwalld 서비스가 가동중이다. Rwalld 데몬은 원격지 호스트들로부터 전달된 메시지를 시간 분할 시스템(time-sharing system)을 사용중인 모든 터미널에 브로드캐스트(broadcast) 해 주는 서비스이다. Rwalld 데몬은 네트워크를 통해 원격지의 wall 요청을 받으면 모든 터미널에 메시지를 보내기 위해 wall 명령을 실행시킨다. 만약 Wall 명령이 정상 실행되지 않으면 Rwalld 데몬은 에러 메시지를 출력한다. 바로 이 에러 메시지를 출력해 주는 코드에는 Format String 취약점이 존재한다. 공격자는 시스템 자원들을 소모시켜 Wall이 실행되지 못하게 할 수 있다. 공격자는 Rwalld 데몬이 에러 메시지를 발생하게 한 후, 해당 호스트로 적절한 Format String을 보냄으로써 root 권한으로 임의의 코드를 수행시킬 수 있다. * 취약한 시스템 : Sun Solaris 2.5.1 / 2.6 Sun Solaris 7.0 / 8.0 / 9.0 알림: 시큐아이스캔은 서비스의 가동유무만을 판단하여 이 취약점을 점검하기 때문에 False Positive(거짓 양성반응) 일 수도 있다. * 참고 사이트: http://online.securityfocus.com/bid/4639 http://www.iss.net/security_center/static/8971.php 해결책 사용하지 않으면 rpc.rwalld 서비스의 가동을 중지시킨다. * rpc.rwalld 서비스를 중지하는 방법 : 1. root의 권한으로 다음과 같이 rpc의 가동을 중지시킨다. # rpcinfo -d [program num] [version num] 2. /etc/inetd.conf 파일에서 'rpc.rwalld' 라인을 '#'을 이용하여 주석처리한다. 3. inetd 데몬을 재가동시킨다 (kill -HUP [inetd process id]). -- 또는 -- Vender와 상의하여 해당 OS에 맞는 패치를 설치해야 한다. Sun Solaris 2.5.1 : 112891-01 Sun Solaris 2.5.1_x86 : 112892-01 Sun Solaris 2.6 : 112893-01 Sun Solaris 2.6_x86 : 112894-01 Sun Solaris 7.0 : 112899-01 Sun Solaris 7.0_x86 : 112900-0 Sun Solaris 8_sparc : 112846-01 Sun Solaris 8_x86 : 112847-0 Sun Solaris 9 : 112875-01 관련 URL CVE-2002-0573 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)