본문 바로가기
정보보안

U-33) unix 서버취약점 > 서비스 관리 > DNS 보안 버전 패치

by PUPPLESHARK 2023. 2. 15.
반응형

1.1.  

U-33 (상) 3. 서비스관리 > DNS 보안 버전 패치
취약점 개요
점검내용 Ÿ BIND 최신버전 사용 유무 및 주기적 보안 패치 여부 점검
점검목적 Ÿ 취약점이 발표되지 않은 BIND 버전의 사용을 목적으로
보안위협 Ÿ 최신버전(2016.01 기준 9.10.3-P2) 이하의 버전에서는 서비스거부 공격, 버퍼 오버플로우(Buffer Overflow) DNS 서버 원격 침입 등의 취약성이 존재함
참고 BIND(Berkeley Internet Name Domain): BIND BSD 기반의 유닉스 시스템을 위해 설계된 DNS로 서버와 resolver 라이브러리로 구성되어 있음. 네임서버는 클라이언트들이 이름 자원들이나 객체들에 접근하여, 네트워크 내의 다른 객체들과 함께 정보를 공유할 수 있게 해주는 네트워크 서비스로 사실상 컴퓨터 네트워크 내의 객체들을 위한 분산 데이터베이스 시스템임
점검대상 및 판단기준
대상 Ÿ SOLARIS, LINUX, AIX, HP-UX
판단기준 양호 : DNS 서비스를 사용하지 않거나 주기적으로 패치를 관리하고 있는 경우
취약 : DNS 서비스를 사용하며 주기적으로 패치를 관리하고 있지 않는 경우
조치방법 DNS 서비스를 사용하지 않을 경우 서비스 중지, 사용할 경우 패치 관리 정책수립하여 주기적으로 패치 적용
DNS 서비스의 경우 대부분의 버전에서 취약점이 보고되고 있기 때문에 O/S 관리자, 서비스 개발자가 패치 적용에 따른 서비스 영향 정도를 정확히 파악하여 주기적인 패치 적용 정책 수립 후 적용
점검 및 조치 사례


SOLARIS, LINUX, AIX, HP-UX

1. BIND거의 모든 버전이 취약한 상태로서 최신 버전으로 업데이트가 요구됨
2. 다음은 구제적인 BIND 취약점들이며, 취약점 관련 버전을 사용하는 시스템에서는 버전 업그레이드를 하여야
   Inverse Query 취약점 (Buffer Overflow) : BIND 4.9.7이전 버전과 BIND 8.1.2 이전 버전
U-33 (상) 3. 서비스관리 > DNS 보안 버전 패치
 
   NXT버그 (buffer overflow) : BIND 8.2, 8.2 p1, 8.2.1버전
   solinger버그 (Denial of Service) : BIND 8.1 이상버전
   fdmax 버그 (Denial of Service) : BIND 8.1 이상버전
  Remote Execution of Code(Buffer Overflow) : BIND  4.9.5 to 4.9.10, 8.1, 8.2 to 8.2.6, 8.3.0  to 8.3.3 버전
   Multiple Denial of Service: BIND 8.3.0 - 8.3.3, 8.2 - 8.2.6 버전
   LIBRESOLV: buffer overrun(Buffer Overflow) : BIND 4.9.2 to 4.9.10 버전
   OpenSSL (buffer overflow) : BIND 9.1, BIND 9.2 if built with OpenSSL(configure
--with-openssl)
   libbind (buffer overflow) : BIND 4.9.11, 8.2.7, 8.3.4, 9.2.2 이외의 모든 버전
   DoS internal consistency check (Denial of Service) : BIND 9 ~ 9.2.0 버전
   tsig bug (Access possible) : BIND 8.2 ~ 8.2.3 버전
   complain bug (Stack corruption, possible remote access) : BIND 4.9.x 거의 모든 버전
   zxfr  bug (Denial of service) : BIND 8.2.2, 8.2.2 patchlevels 1 through 6 버전
   sigdiv0 bug (Denial of service) : BIND 8.2, 8.2 patchlevel 1, 8.2.2 버전
  srv bug(Denial of service): BIND 8.2, 8.2 patchlevel 1, 8.2.1, 8.2.2, 8.2.2 patchlevels 1-6 버전
   nxt bug (Access possible) : BIND 8.2, 8.2 patchlevel 1, 8.2.1   버전
   BIND 4.9.8 이전 버전, 8.2.3 이전 버전과 관련된 취약점
-   TSIG 핸들링 버퍼오버플로우 취약점
-   nslookupComplain() 버퍼오버플로우 취약점
-   nslookupComplain() input validation 취약점
-   information leak 취약점
-   sig bug Denial of service 취약점
-   naptr bug Denial of service 취약점
-   maxdname bug Denial of service 취약점
 
※ Bind 최신버전 다운로드 사이트 http://www.isc.org/downloads/
 
각 버전에 대한 취약점 정보 사이트
(1)   BIND 8 Vulnerability matrix :
https://kb.isc.org/article/AA-00959/0/BIND-8-Security-Vulnerability-Matrix.html
 
(2)   BIND 9 Vulnerability matrix :
https://kb.isc.org/article/AA-00913/74/BIND-9-Security-Vulnerability-Matrix.html
조치 시 영향 패치를 적용 시 시스템 및 서비스 영향 정도를 충분히 고려하여야
반응형

댓글