English

◀◁ 뒤로 취약점ID 17034 위험도 40 포트 프로토콜 TCP 분류 RPC 상세설명 해당 RPC rpc.xfsmd 서비스는 원격으로 도용 가능한 다수개의 취약점들을 가지고 있다. 이 취약점들이 적절하게 도용된다면 결과적으로 취약한 시스템에 대해 인가되지 않은 root 권한이 획득될 수 있다. Xfsmd 서비스는 IRIX 운영체제 6.2에서 6.5.16까지의 모든 버전들에 디폴트로 설치된다. 이 데몬은 xfs 파일 시스템들과 디스크 볼륨들(xlv) 관리와 관련된 기능을 제공한다. Xfsmd는 파일 시스템 생성, Mounting, Unmounting에 대한 요청들을 처리한다. Xfsmd을 통해 파일 시스템들은 전체 파티션들이 관리될 때와 마찬가지로 관리될 수 있다. Xfsmd는 IRIX 운영체제에 RPC 서비스 번호 391016로 등록된다. 1. 허술한 인증 문제 Xfsmd 서비스의 첫번째 문제는 AUTH_UNIX RPC 형태에 기반을 둔 허술한 RPC 인증 기법에 있다. 이 인증 기법은 쉽게 무력화될 수 있어 잠재적으로 위험한 RPC 기능들을 원격으로 호출할 수 있는 가능성들을 제공하여, 취약한 호스트상의 xfs 파일 시스템들에 대한 mount, unmount, 생성, 삭제, 수정을 허용해 준다. 유닉스 시스템에서 이러한 액션들이 수행된다는 것은 root 사용자 권한을 얻게 해 주는 것과 같다. 2. popen() 취약점들 Xfsmd 서비스에 있는 다른 취약점은 프로그램 코딩상의 결함의 문제로 xfsmd 코드내에 popen() 함수를 호출하는 방법에 있다. Xfsmd RPC 함수들은 여러 개의 외부 프로그램들을 호출하기 위해 popen() 호출을 사용한다. Popen() 함수 호출시 사용자 제공 인수가 ';' 혹은 ''와 같은 쉘 Meta 문자에 대한 아무런 여과과정없이 전달된다. 원격지의 사용자는 이 결함을 이용하여 시스템상의 임의의 명령들을 수행시킬 수 있다. * 참고 사이트: http://online.securityfocus.com/archive/1/277957 ftp://patches.sgi.com/support/free/security/advisories/20020606-01-I * 영향을 받는 플랫폼: Linux Any version Unix Any version 해결책 SGI 사는 제품이 단종되었기 때문에 이 문제에 대한 패치들을 제공하지 않을 것이라고 공식적으로 밝혔다. 임시 조치방법으로 SGI 사는 해당 제품을 사용중지하거나 제거할 것을 권고하고 있다. 제품을 사용중지시키기 위해서는: 1. /etc/inetd.conf 파일을 편집하여 xfsmd 라인을 주석처리 한다. 2. 변경한 후, inetd 대몬을 다음과 같이 재시작시켜야 한다: kill -HUP PID 시스템으로부터 제품을 제거하기 위해서는 다음과 같이 한다: # versions remove eoe.sw.xfsmserv 관련 URL CVE-2002-0359 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)