금요일, 9월 26, 2014

[B급 프로그래머] 배시 셸쇼크 버그

인터넷을 떠들썩하게 만들었던 하트블리드 버그에 이어 이번에는 더 큰 녀석이 등장했다. 셸쇼크라 불리는 카테고리 5급 버그인데... 사실상 거의 모든(99%) 리눅스/맥OS X 컴퓨터에 설치된 배시 셸의 문제이므로 회피하기가 지극히 곤란한 상황으로 보여진다. T_T

일단 여러분 컴퓨터(운영체제가 리눅스나 맥OS X)에 문제가 있는지부터 확인해보자. 배시 셸을 하나 열어 다음 명령을 수행해보자.

$ env x='() { :;}; echo vulnerable' bash -c 'echo this is a test'

"vulnerable"이 답으로 나오면 여러분 시스템은... 보안에 문제가 있다고 보면 되겠다. 문제는 바로 "() { :;};" 부분이다. 이 함수는 뒤에 (무조건 실행되는) 임의의 코드를 허용하므로, 잠재적으로 '악성' 코드를 설치할 수 있는 구멍이 활짝 열린다.

자 그렇다면 악당들은 이런 보안 문제를 어떻게 활용악용할까? 간단하게 설명하자면 HTTP 요청을 던지며 특정 문자열을 잘 조합해 원격 컴퓨터에서 실행 가능한 형태로 만들면 된다. 기술적인 토론은 What is a specific example of how the shellshock bash bug could be exploited?를 보면 되며, 실제로 DDoS 공격에 활용되었다는 소식도 들려오므로 강 건너 불 구경할 상황은 이미 넘어선 듯이 보인다.

레드햇과 우분투는 이미 패치를 발표했으며, 애플도 조만간 버그 픽스를 발표할 것으로 보인다. 물론 겉으로 드러나는 증상만 피하는 긴급 패치이므로 공격하는 쪽에서 다른 우회책을 사용할 가능성도 배제할 수 없기에 패치를 설치하더라도 100% 안전한 상태라 보기는 어렵다. 따라서 지속적인 주의가 필요하다.

핵심 요약: 엄청나게 심각한 버그이므로, 패치를 잽싸게 설치해야 한다. 한가롭게 기다릴 시간이 없다.

EOB

댓글 11개:

  1. 하아...좋은 정보 감사해요 oracle linux도 빠른패치 하기를 ㅠ

    답글삭제
    답글
    1. https://community.oracle.com/message/12650637 참고하시기 바랍니다.

      삭제
    2. 링크 너무 감사합니다. 덕분에 빠르게 패치를 할 수 있었습니다.

      삭제
  2. 좋은정보 감사합니다.
    arm계열 서버 구동중인데 arm ubuntu는 패치를 안내놓네요 ㅠ.....
    근데 이 셀쇼크란거 심각하네요. 지금 제 서버도 아이디 없이 막 뚫을수 있고
    조금 관리가 느린 개인 블로그나 서버같은건 손만대면 자기맘대로 할수있으니 ㄷㄷ........ 정녕 보안이 필요한곳은 윈도 서버를 써야 하는걸까요......?

    답글삭제
    답글
    1. 아직 ARM 기반 우분투에는 패치가 안 나온 듯이 보이네요. T_T

      삭제
  3. 좋은 정보 감사합니다.

    답글삭제
  4. 좋은 정보 감사합니다 ~

    답글삭제
  5. 안녕하세요!! bash shell관련해서 공부하고있는 학생입니다!!! 혹시 Shell Shock 실습해볼 가상 웹환경 구할수있는 곳 알고 계신지요...ㅜㅜ

    답글삭제
    답글
    1. virtual box를 사용해 일반적인 리눅스 배포판을 설치하면 local PC에서 테스트 가능합니다.

      삭제