English

◀◁ 뒤로 취약점ID 18039 위험도 40 포트 25 프로토콜 TCP 분류 SMTP 상세설명 해당 MS Exchange 서버의 버전은 IMC의 EHLO 응답에 버퍼 오버플로우 취약점을 가지고 있다. 마이크로소프트 Exchange 서버는 Exchange 서버가 원격지의 SMTP 서버들과 통신하는데 필요한 Internet Mail Connector (IMC) 라 불리는 구성요소를 포함하고 있다. 이 구성요소에는 취약점이 있어 원격지의 공격자들이 특정 설정 하에 있는 Exchange 서버들 상의 임의의 코드를 수행할 수 있도록 해 준다. SMTP EHLO(Extended Hello) 명령은 SMTP 서버가 지원하는 SMTP 기능(operation)들의 목록을 얻기 위해 다른 서버에 질의할 때 사용하는 명령으로, IMC 구성요소는 이 명령에 대한 응답으로 다음과 같이 시작하는 Status Reply를 반환한다: 250-<Exchange server ID>Hello<Connecting server ID> 원격지의 공격자는 자신의 DNS 서버를 이용하여 Reverse Lookup 응답들을 조작하거나 혹은 DNS Spoofing 기법들을 응용하여 IMC가 버퍼 오버플로우를 일으킬 응답을 생성하게 유도할 수 있는 잘 조작된 EHLO 명령을 보낼 수 있다. 공격자는 이 취약점을 이용하여 Exchange를 크래쉬(crash) 시키거나 취약한 서버에 대한 완전한 제어를 얻을 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 원격지 SMTP 서버의 배너만을 참조한다. * 참고 사이트: http://online.securityfocus.com/bid/5306 http://www.microsoft.com/technet/security/bulletin/MS02-037.asp 취약한 플랫폼: * Microsoft Exchange 5.5 해결책 임시 조치방법으로는 MS사가 제공하는 문서 중 Q1920026에 정의된 것처럼 레지스트리 키 값을 설정하여 EHLO 명령어에서 Reverse DNS lookup을 중지시켜야 한다: http://support.microsoft.com/default.aspx?scid=kb;EN-US;q190026 Reverse DNS lookup을 중지시키기 위해서는: 1. 레지스트리 편집기(Regedt32.exe)를 실행한다. 2. 레지스트리 위치 HKEY_LOCAL_MACHINE\System|CurrentControlSet\Services\MSExchangeIMC\Parameters\ 에서 "DisableReverseResolve" 변수를 찾는다. 3. 편집 메뉴에서 2진수를 선택한 후 '1'값을 넣고 'OK' 버튼을 클릭한다. 4. 레지스트리 편집기를 종료한다. -- 또는 -- 마이크로소프트 보안 게시판 MS02-037 로부터 Microsoft Exchange 5.5 Service Pack 4 이상을 다운받아 설치해야 한다: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=15865 관련 URL CVE-2002-0698 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)