배시버그(Bash Bug) 및 대응 방안
■ 미국 CERT는 9월 25일(현지시간) 전 세계 기관·기업의 보안 전문가들을 대상으로 ‘배시 버그’(Bashbug) 또는 ‘셸쇼크’ (Shellshock)로 불리는 보안 결함에 대비하라고 강력히 경고함.
- 배시(Bourne Again Shell, Bash)는 유닉스·리눅스 계열에서 사용자 명령어를 분석하여 운영체제(OS)의 커널로 전달해주는 기본 쉘프로그램임
※ CERT(Computer Emergency Response Team): 컴퓨터 해킹사고가 빈발함에 따라 컴퓨터 통신망을 해커로부터 보호하기 위해 결성된 통신보안 전문가그룹이며, 한국에도 CERT 코리아가 있음
※ 쉘 프로그램이란, 예를들면 예전 DOS에서 ① 사용자가 DIR을 입력하면 ② DOS의 쉘 프로그램은 DIR을 DOS 운영체제가 알수 있는 기계어로 분석하여 ③ DOS 운영체제로 전달하여, ④ 최종적으로는 화면에 파일 목록이 나오게 해주는 역할을 함
|
> |
|
> |
|
> |
|
■ 배시 4.3버전에서 발견된 이 버그는 해커가 원격에서 접속, 시스템에 명령어를 날려 변화를 가할 수 있도록 하며, 서버에 대한 접근제어나 원격으로 악성코드가 동작되게 할 수 있음
■ 리눅스 컴퓨터를 부팅 하고, bash 쉘 프로그램에서 버전을 확인함
- ① 현재의 bash 버전을 확인함(rpm -qa | grep bash). 아래의 예처럼 bash 버전이 4.3 이하, 즉 현재 4.1.2 이므로 보안 업데이트가 필요한 상태임을 확인함
# rpm -qa | grep bash
bash-4.1.2-9.el6_2.x86_64
- ② 쉘 프로그램 취약점을 확인하는 명령어(env x='() { :;}; echo vulnerable' bash -c 'echo this is a test' )를 입력 하였을 경우, "vulnerable" 문구가 나오면 보안 위험 상태임
# env x='() { :;}; echo vulnerable' bash -c 'echo this is a test'
vulnerable
this is a test
■ (패치 적용) 현재 대상 운영제체의 패치가 각 배포판 패치서버에 모두 업데이트 되었으며, KISA에서 각 기관에 적극적으로 알리고 있음
(예) KISA에서는 9월 26일 오후, NIPA 정보서비스팀에 패치 업데이트 요청함
- Debian:
https://www.debian.org/security/2014/dsa-3035
- Ubuntu/Mint:
http://www.ubuntu.com/usn/usn-2363-1/
http://www.ubuntu.com/usn/usn-2363-2/
- Redhat:
https://rhn.redhat.com/errata/RHSA-2014-1306.html
- CentOS:
http://lists.centos.org/pipermail/centos/2014-September/146154.html
■ (홍보) 미래창조과학부, KISA, NIPA 등의 기관 홈페이지등을 통하여 배시버그(Bash Bug) 및 대응방안을 지속적으로 게시함
- 특히, KISA에서는 배시버그 확인 및 패치를 구할수 있는방법 ·패치 적용절차등에 대한 TF 운영 필요
■ (지원과제에 대한 권고 및 확인) NIPA, KISA 등에서 지원하는 지원사업 수행 기관에 안내하여 개발 시 해당 취약점에 대비하여 개발 할 것을 권고 및 중간점검 시 확인
- 대상과제: 공개SW개발지원사업 등
번호 | 제목 | 작성자 | 조회수 | 작성 |
---|---|---|---|---|
공지 | [컨트리뷰톤]2024 오픈소스 컨트리뷰션 아카데미 [참여형] '최종 수료자(멘티)' 선정 결과 안내 | 통합지원센터 관리자 | 713 | 2024-11-15 |
공지 | [컨트리뷰톤]2024 오픈소스 컨트리뷰션 아카데미 [참여형] 최종 수상팀 발표 file | 통합지원센터 관리자 | 981 | 2024-11-15 |
공지 | [라이선스검증]「바이너리 파일」오픈소스SW 라이선스 및 보안취약점 검증신청 안내 file | support | 732 | 2024-10-28 |
공지 | [기타]2024년 공개SW 및 SW품질·안전 유공자 표창 공고(8.14~9.13) | 관리자 | 1409 | 2024-08-16 |
공지 | [라이선스검증]「오픈소스SW 라이선스/보안취약점 검증 안내」 file | License 관리자 | 9879 | 2023-10-06 |
150 | [기증 도서 증정] 기북 마흔여섯번째 당첨자 발표 | OSS | 1422 | 2014-11-05 |
149 | [기증 도서 증정] 기북 마흔다섯번째 당첨자 발표 | OSS | 1337 | 2014-10-29 |
148 | [기증 도서 증정] 기북 마흔네번째 당첨자 발표 | OSS | 1378 | 2014-10-22 |
147 | [기증 도서 증정] 기북 마흔세번째 당첨자 발표 | OSS | 1359 | 2014-10-14 |
146 | [기증 도서 증정] 기북 마흔두번째 당첨자 발표 | OSS | 1718 | 2014-10-07 |
145 | 배시버그(Bash Bug) 및 대응 방안 | OSS | 2355 | 2014-10-01 |
144 | [기증 도서 증정] 기북 마흔한번째 당첨자 발표 | OSS | 1351 | 2014-10-01 |
143 | 2014년 공개SW 라이선스 토론회를 위한 사전 질의 이벤트 1 | OSS | 1660 | 2014-09-30 |
142 | [기증 도서 증정] 기북 마흔번째 당첨자 발표 | OSS | 1484 | 2014-09-23 |
141 | 2014년 공개SW 개발자대회 공헌상 공고 file | OSS | 1311 | 2014-09-22 |
0개 댓글