English

◀◁ 뒤로 취약점ID 17040 위험도 40 포트 32785/32786 프로토콜 TCP,UDP 분류 RPC 상세설명 Sun Solaris 버전 2.6, 7과 8에서의 snmpXdmid 서비스 Daemon은 Buffer Overflow에 취약하다. 'snmpXdmid' 서비스는 SNMP와 DMI (Desktop Management Interface) Request를 처리하기 위한 매핑 툴이다. snmpXdmid는 SNMP 트랩으로 악의적인 DMI request를 해석할 때 버퍼 오버플로우가 발생한다. SnmpXdmind는 루트 권한으로 실행되기 때문에 공격자가 이 취약점을 이용해서 공격에 성공하면 슈퍼유저의 권한을 획득할 수 있다. * 영향을 받는 플랫폼: Sun Solaris 버전 2.6, 7과 8 해결책 Sun Solaris의 경우: 다음과 같이 시스템에 맞는 패치를 설치한다. https://support.oracle.com에서 해당 패치를 지원하지 않을 경우 벤더에 문의하여 패치를 설치한다. SunOS 5.8 108869-07 SunOS 5.8_x86 108870-07 SunOS 5.7 107709-15 SunOS 5.7_x86 107710-15 SunOS 5.6 106787-15 SunOS 5.6_x86 106872-15 -- 혹은 -- 만약 SNMP 그리고 DMI가 모두 필요하지 않다면 DMI를 내려 놓음으로써 'snmpXdmid' 대몬을 사용 중지시킬 수 있다. DMI를 완전하게 내려 놓기 위해서는: 1. /etc/rc?.d/S??dmi를 /etc/rc?.d/K07dmi로 이름으로 바꾸어 놓는다. 그리고 '/etc/init.d/init.dmi stop' (여기서의 ?는 적절한 runlevel 을 뜻함) 을 실행한다. 2. 만약 대몬이 실행되지 않도록 만들고자 한다면 'snmpXdmid' 이진 파일로부터 모든 퍼미션들을 제거한다: # chmod 000 /usr/lib/dmi/snmpXdmid 3. snmpXdmid RPC 서버스의 ID는 100249번이다. 로컬 호스트의 포트 바인딩 상태를 리스트해 보기 위해서는 'rpcinfo -p' 명령을 사용한다: # rpcinfo -p | grep 100249 100249 1 udp 32785 100249 1 tcp 32786 만약 현재 snmpXdmid RPC 서비스를 사용 중지시키기 위해서는 다음 명령을 수행한다: # rpcinfo -d 100249 ? (여기서의 ?는 snmpXdmid RPC 서비스의 버전을 뜻한다. 여기에서의 경우는 '1'이다) 관련 URL CVE-2001-0236 (CVE) 관련 URL 2417 (SecurityFocus) 관련 URL 6245 (ISS)