- 정보공유
[기타] bash 관련 보안 취약점 중요 패치.
================================================================
리눅스와 유닉스 환경에서 많이 쓰이는 셸 프로그램 '배시(Bash)'에 중대한 보안취약점이 발견됐다. 셸 명령어를 실행하는데 사용되는 배시의 취약점을 이용해 해커가 관리자권한 인증없이 서버를 제어할 수 있다는 것이다.
24일(현지시간) 미국 지디넷에 따르면, 리눅스와 유닉스 기반 운영체제(OS)에서 쓰이는 명령어 번역기 '배시'에 중대 보안 버그가 발견됐다.
배시 4.3버전에서 발견된 이 버그는 해커가 원격에서 접속, 시스템에 명령어를 날려 변화를 가할 수 있도록 한다. 서버에 대한 심각한 공격에 악용될 수 있다는 것이다. 허락되지 않은 정보를 공개하거나, 시스템을 수정하고, 서비스를 파괴할 수 있는 것으로 알려졌다.
레드햇의 보안팀은 "특정 서비스와 애플리케이션이 인증되지 않은 공격자에게 환경 변화를 허용한다'며 "이 이슈를 해커가 악용할 수 있다"고 경고했다.
배시는 전세계적으로 매우 많이 활용되는 시스템 셸이다. 이 취약점의 영향권든 OS는 여러 리눅스 배포판뿐 아니라 유닉스계열인 맥 OS X까지 아우른다.
애플리케이션은 배시에서 웹HTTP나 커먼게이트웨이인터페이스(CGI)를 통해 데이터를 입력하는 방법으로 실행된다. 이를 통해 웹서버를 해킹할 수 있다. 해커가 서버를 파괴할 수도 있다.
아카마이 최고보안책임자(CSO) 앤디 엘리스는 "이 취약점은 셸을 통해 다른 사용자 인풋과 다른 애플리케이션을 불러오는 많운 애플리케이션에 영향을 준다"고 설명했다.
데비안 계열인 우분투는 배시 대신 '대시(Dash)'를 사용하므로 이 취약점을 갖지 않는다.
24일 배시 개발자들은 3.0부터 4.3까지 현존하는 모든 버전에 패치를 배포했다. 현 시점에 데비안과 레드햇이 자신들의 패키지에 이 패치를 적용했다.
사용자는 우선 현재 시스템의 셸 프로그램이 배시인지 확인해야 한다. 설치됐을 경우 최신 패치를 설치하거나, 다른 명령어 입력수단으로 바꿔야 한다.
아카마이는 배시 대신 다른 셸로 교체할 것을 조언했다. 하지만 동일한 구문과 기능을 사용할 수 있는 대안 셸은 없다.
배시 취약점에 대해 일부 외신은 "하트블리드 취약점보다 더 큰 재앙이 될 수 있다"고 위험성을 경고했다.
관련 ars technica 글 링크 : http://arstechnica.com/security/2014/09/bug-in-bash-shell-creates-big-security-hole-on-anything-with-nix-in-it/
the register 글 링크 : http://www.theregister.co.uk/2014/09/24/bash_shell_vuln/
================================================================
# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
실행시
vulnerable
this is a test
라고 나오면 패치해야함.
centOS 버전확인.
cat /etc/redhat-release
centOS 업데이트.
# yum -y update bash