English

◀◁ 뒤로 취약점ID 23008 위험도 40 포트 4321 프로토콜 TCP 분류 RWHOIS 상세설명 해당 rwhois 데몬은 비정상적인 요청으로 '%p%p%p'와 같은 비정상적인 인수들이 제공될 때 format string 공격에 취약하다. 공격자는 이 결함을 이용하여 해당 호스트의 shell을 얻어낼 수 있다. Rwhosid는 Network Solutions 사에 의해 제공되는 RWHOIS 데몬이다. RWHOIS는 사용자명, 로그인 시각, 온라인으로 경과된 시간, 그리고 네트워크상의 모든 시스템들에 접속되어 있는 사용자들에 대한 관련 데이터를 원격지에서 리스팅해 보기 위한 프로토콜이다. 그 원격 요청이 Syslog 기능을 통하여 기록될 때 건네지는 format string은 사용자가 제공한 입력까지 포함하고 있다. 이것은 메모리 변조를 유발하게 하여 rwhoisd에 의해 임의의 코드를 실행시킬 수 있게 해 준다. 이것은 옵션 "set use-syslog: YES"이 rwhoisd.conf 파일에 설정되어 있을 때에만 발생한다. 이 옵션은 디폴트로 작동되게 되어 있다. * secuiSCAN은 이 취약점을 찾기 위해 배너의 버전에 의존한다. 따라서 rwhoisd를 패치했다면 이 결함에 취약하지 않다. * 영향을 받는 플랫폼: Linux Any version Unix Any version 해결책 필요하지 않다면 rwhois 서비스를 작동중지시켜야 한다. -- 혹은 -- rwhoisd.conf 파일에서 'set use-syslog: YES' 라인을 제거한다. -- 혹은 -- 1.5.7.3 이상의 버전으로 업그레이드한다. 관련 URL CVE-2001-0913 (CVE) 관련 URL 3571 (SecurityFocus) 관련 URL (ISS)