메뉴 건너뛰기

오에스매니아

profile 리눅스 권한 상승 가능한 Dirty Sock 취약점 발견

작성자: 엔냐 조회 수: 71 PC모드 작성일: 2019년 02월 16일 12:27:51

리눅스 권한 상승 가능한 Dirty Sock 취약점 발견


https://www.dailysecu.com/?mod=news&act=articleView&idxno=45522&sc_code=&page=&total=


45522_37641_5633.jpg


해외 보안 연구원이 우분투 및 다른 리눅스 배포판에 영향을 주는 취약점과 관련 개념증명코드(PoC)를 13일 발표했다.

우분투 운영체제 회사인 카노니칼(Canonical)은 공개 하루 전인 12일에 패치(USN-3887-1)를 발표했다.

이 취약점은 1월말 쉐나니간스(Shenanigans) 랩의 보안 연구원인 크리스 모데리(Chris Moberly)에 의해 발견되었으며, 카노니칼팀은 그와 긴밀히 협력해 문제를 수정했다.

모데리가 Dirty Sock라고 명명한 이 취약점을 이용하면 공격자는 취약한 시스템에 대해 원격으로 침입할 수는 없지만, 패치되지 않은 시스템에 계정이 있다면 루트권한을 획득할 수 있다.

실제 취약점은 운영체제 자체가 아닌 Snapd데몬에 있다. 이 데몬은 기본적으로 모든 최신 우분투 버전에 포함되어 있고, 다른 배포판 역시 포함되어 있다. Snapd는 2014년 이후 카노니칼에서 우분투 응용프로그램용으로 개발된 새로운 앱 패키징 포맷인 snap를 관리하는 데몬이다. Snapd를 사용하면 .snapd 형식으로 응용프로그램을 다운로드하고 설치할 수 있다.

모베리는 Snapd가 새로운 앱을 설치하는 동안 스냅 패키지와 상호 작용하는 로컬 REST API 서버를 제공한다고 설명한다. 이 API 서버에 부과된 액세스 제어 제한을 우회해 루트 사용자용으로 제한된 API를 포함한 모든 API에 액세스할 수 있는 방법을 확인했다고 그는 말했다.

그가 깃허브에 공개한 개념증명코드에는 이 API를 악용해 새로운 루트 수준 권한 계정을 만드는 데 사용할 수 있는 코드들이 포함되어 있다.

이 취약점(CVE-2019-7304)을 악용하는 코드는 감염된 호스트에서 직접 실행되거나 악의적인 스냅 패키지에 숨겨져 있을 수 있다.

Snapd 버전 2.28~2.37은 모두 Dirty Sock에 취약하며 버전 2.37.1에서 이 문제가 해결되었다. 동시에 카노니칼은 우분투 리눅스에 대한 보안업데이트도 발표했다. Snapd를 사용하는 다른 배포판은 데미안, Arch, 오픈수세, 페도라 등으로 모두 보안업데이트를 제공한다.

★정보보안 대표 미디어 데일리시큐!★



자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

List of Articles
번호 제목 글쓴이 날짜 조회 수
» 리눅스 권한 상승 가능한 Dirty Sock 취약점 발견 file 엔냐 02-16 71
23 하모니카 커뮤니티 배포판 리눅스민트 19.1 Moordev Tessa MATE 64bit + 5 ckk2580 02-15 115
22 [정식버전] No1.Linux-2018.12.25-KDE-PLASMA5-SE.UP5.x86_64 + 4 ckk2580 02-15 109
21 저사양 유저 또는 군건더기 없는 운영체계를 원하는 분을 위한 루분투 file + 8 System32 02-04 296
20 리눅스 배포판 순위 사이트 + 11 판치 01-13 484
19 우분투에서 한글 입력기 비교 사용기 (ibus, fcitx, uim) + 2 kungms 12-31 186
18 2019년 리눅스에 기대해도 좋을 것 file + 13 anonymous 12-07 525
17 Linux Mint LMDE 3 설치 가이드 + 6 VenusGirl 09-11 495
16 Linux Mint 19 설치 가이드 + 6 VenusGirl 09-10 434
15 '우분투 vs 리눅스 민트' file + 7 anonymous 09-07 565
14 데비안 GNU/리눅스 9.x.0 설치하기 + 5 VenusGirl 06-19 476
13 Debian9 -버전 9 데스크탑 종류별 설치 모습 file + 1 VenusGirl 06-17 377
12 데비안 GNU/리눅스 설치 안내서 + 2 VenusGirl 05-19 326
11 각종 리눅스 다운로드 받기 + 8 VenusGirl 05-17 1156
10 CentOS 최신 버전으로 유지하기 + 3 피터팬 01-03 857
9 내 서버를 돌려보자 그누보드 설치 성공기 V 2.1.0 (준비물: USB 저장장치) + 5 피터팬 12-23 1103
8 레드헷 계열 리눅스 동영상 코덱 설치 방법 피터팬 12-18 205
7 최소 RHEL / CentOS 7 설치 후 30 가지 작업 소개 + 6 VenusGirl 12-08 983
6 리눅스용 한글 입력기 추천 + 1 telnet 11-15 443
5 칼리 리눅스 메뉴 및 간단한 설명입니다. file + 5 바울 11-11 463
위로

Master of OS Mania
×

진정한 OS를 알아볼수 있는 전문가 집단.

오에스매니아 에 가입하십시요

그동안 보지 못한 신세계를 만날수 있습니다.