Ghost 취약점이 발견되어, 사용자 주의를 당부 드립니다. 해당 취약점은 Linux glibc 라이브러리에서 발생한 것으로, 공격자가 시스템 상황을 모르는 상태에서 원격으로 시스템 제어 권한을 획득할 수 있습니다.

 

 

 

 

해당 취약점은 gethostbyname*() 함수에서 발생하는 취약점으로, 취약점이 발생하면 sizeof(char*)개의 바이트가 오버플로우 됩니다. (주의할 것은 여기서 char*은 32비트 시스템에서는 4바이트를 말하며, 64비트 시스템에서는 8바이트를 말합니다.)

 

하지만 해당 취약점은 payload가 숫자(‘0’), 점(‘.’), 그리고 마침을 표현하는 빈칸(‘/0’)으로만 이루어져 있어야 한다는 전제조건이 있습니다. 사실 glibc를 타겟으로 한 공격은 2000년 11월 10일에 이미 발생했었으며, 2013년 5월 21일에 이미 패치가 진행되었습니다. (glibc 2.17버전에서 glibc 2.18버전 사이)

당시 사용자들은 이것이 보안 취약점이라는 것을 인지하지 못했습니다. 그 결과, 현재 대부분의 리눅스 버전들이 모두 해당 취약점을 갖고 있게 되었습니다.

 

패치 방법은 glibc자체를 업데이트 하면 됩니다. 하지만 해당 라이브러리에는 많은 서비스에서 사용하는 함수들이 포함되어 있고, 업데이트 후 반드시 재부팅을 해야하기 때문에 약간의 번거로움이 있습니다.

Gcc 버전 확인

gcc 취약버전을 이용하는 o/s 

A list of affected Linux distros

• RHEL (Red Hat Enterprise Linux) version 5.x, 6.x and 7.x
• CentOS Linux version 5.x, 6.x & 7.x
• Ubuntu Linux version 10.04, 12.04 LTS
• Debian Linux version 7.x
• Linux Mint version 13.0
• Fedora Linux version 19 or older
• SUSE Linux Enterprise 11 and older (also OpenSuse Linux 11 or older versions).
• SUSE Linux Enterprise Software Development Kit 11 SP3
• SUSE Linux Enterprise Server 11 SP3 for VMware
• SUSE Linux Enterprise Server 11 SP3
• SUSE Linux Enterprise Server 11 SP2 LTSS
• SUSE Linux Enterprise Server 11 SP1 LTSS
• SUSE Linux Enterprise Server 10 SP4 LTSS
• SUSE Linux Enterprise Desktop 11 SP3
• Arch Linux glibc version <= 2.18-1

자기 자신의 서버의 gcc 버전이 취약한지 아닌지 확인하는 방법

 

 

gcc 인코딩 

취약버전이 아닌 경우 아래처럼 표시

취약버전이 나오는 버전의 경우 아래처럼 표시

업데이트 진행 ( centos 6,7 버전의 경우 아래와 같이 진행하면 된다 )