(주)레디시스템
Home
홈으로 회사소개 시스템 웹 사이트맵 헬프데스크
 
 
작성일 : 07-07-10 11:19
[Solaris10] Telnet Daemon 루트 인증 취약성 패치하기
 글쓴이 : 관리자
조회 : 7,716  
   http://blog.empas.com/kimsds/18526582 [1283]
Solaris 10 Telnet 로그인 취약성에 대하여
2007년 2월 14일 Solaris 10의 Telnet Daemon의 심각한 보안 문제에 대한 발표가 있었습니다.
이 취약성은 일반 Telnet 명령어를 사용하여 로그인 할 수 있으므로 그 위험도는 매우 심각합니다.

 

1.대상 OS 버전
  • 120068-02 패치가 적용되지 않은 Solaris 10

 

2.보안 취약성에 대한 상세설명
  • Solaris 10의 Telnet Daemon에 영향을 주는 원격 0-day취약성이 보고되었다.

    이 취약성은 설계 오류로 인해 발생하는 것이며, 인증되지 않은 루트 로그인 공격이 가능하다.

    이 취약성은 Telnet Daemon이 로그인 프로세스에 스위치를 전달하여 root계정으로 비밀번호 인증과정을 거치지 않아도

    모든 시스템에 로그인이 가능하도록 하기 때문에 발생한다.

    Telnet Daemon이 root사용자의 권한으로 실행되고 있으면, 원격의 공격자는 자신이 원하는 모든 시스템 계정으로 로그인 할 수 있다.

 

3.공격의 예
  • 아래의 예와 같이 실행하여 LOG인 가능
     telnet –l”-froot”   xxx.xxx.xxx.xxx
               {f+계정}    {대상서버 IP}
     예) telnet –l”-froot”   192.168.1.10

 

4.대처방안
  • 패치적용으로 해결

 

5.패치 적용방법
   - 패치후 바로 적용( Rebooting 불필요)

 1) 패치 적용여부를 확인
     # showrev –p |grep 120068-02
       : 적용이 되지 않은 경우 아무것도 표시되지 않음.
 2) 대상 서버에 파일 저장
    예) /120068-02.zip


 3) 압축해제
    # unzip /120068-02.zip


 4) 패치 적용
    # patchadd 120068-02


 5) 적용결과 확인
   # telnet –l”-froot”   xxx.xxxx.xxx.xxx
     : Password를 물어보면 정상적으로 적용됨.

[펌-http://blog.empas.com/kimsds/18526582]

 
 

Total 185
번호 제   목 글쓴이 날짜 조회
110 시스템 패닉메시지 Score05/Score95
관리자
2006/02/28 7656
109 prstat
관리자
2005/10/20 7674
108 듀얼 모니터 설정
관리자
2006/02/09 7695
107 [Solaris10] Telnet Daemon 루트 인증 취약성 패치하기
관리자
2007/07/10 7717
106 E4900 power on & power off 순서
관리자
2008/03/18 7737
105 disksuite raid 5 구성.
관리자
2006/04/11 7766
104 solaris x86 bootloader 복구
관리자
2007/05/14 7796
103 *** 프로세스 상태 추적 관리 ***
관리자
2006/02/11 7832
102 fcal disk 교체
관리자
2006/04/03 7834
101 압축명령 zip 파일에 password 설정
관리자
2008/03/05 7893
100 rsync .....
관리자
2005/12/12 7921
99 SunLink X.25 설치 방법
관리자
2006/10/12 8003
98 sendmail
관리자
2008/06/30 8007
97 solaris 10 /etc/inet/ipnodes
관리자
2007/12/10 8042
96 disk suite raid5 복구 ( A5200 )
관리자
2006/11/15 8050
 1  2  3  4  5  6  7  8  9  10    
 
문서 상단으로
 
 
Administrator Login
웹마스터