메인 콘텐츠로 건너뛰기
모든 제품 보기
컴퓨팅
스토리지
네트워킹
Databases
서비스
개발자 툴
업계
가격
커뮤니티
저희와 함께하세요
블로그 살펴보기
카테고리
13
  1. 클라우드 개요
    51
  2. 컴퓨팅
    28
  3. 컨테이너(쿠베르네츠, 도커)
    35
  4. Databases
    22
  5. 개발자 툴
    44
  6. Linode
    263
  7. Linux
    69
  8. Multicloud
    4
  9. 네트워킹
    33
  10. 오픈 소스
    6
  11. 파트너 네트워크
    7
  12. 보안
    66
  13. 스토리지
    24
저자 58
  1. Alex Leung 9
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 7
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jorge Gaona 1
  26. Jonathan Hill 2
  27. Justin Mitchel 4
  28. James Steel 5
  29. Jamie Sherkness 8
  30. Linode 70
  31. Linode Events 8
  32. The Linode Security Team 122
  33. The Linode Network & Security Teams 1
  34. LINQ 1
  35. Leslie Salazar 1
  36. Michelle Berg 1
  37. Mitch Donaberger 1
  38. Mike Fischler 1
  39. Mike Maney 10
  40. Maddie Presland 20
  41. Mike Quatrani 4
  42. Nathan Melehan 2
  43. Nigel Poulton 1
  44. Philip McGuinness 1
  45. Prasoon Pushkar 1
  46. Peter Sari 1
  47. Rick Myers 7
  48. Richard Tubb 1
  49. Sal Carrasco 1
  50. Salman Iqbal 1
  51. Stuart Macleod 1
  52. Shawn Michels 1
  53. Linode Support 14
  54. Tom Asaro 18
  55. Travis Baka 2
  56. Talia Nassi 17
  57. Tim Vereecke 2
  58. Yuri Goldfeld 1
블로그보안리노드 보안 다이제스트, 2022년 5월 23~29일

Linode Security Digest May 23-29, 2022

Linode
The Linode Security Team
, 26을 2022 수 있습니다
리노드 시큐리티 다이제스트

이번 주 다이제스트의 주제는 Linux Perf 하위 시스템의 경쟁 조건, BIND의 서비스 거부, OWASP의 위험 등급 방법론에 기반한 위험 평가 계산기입니다.

Linux Perf 하위 시스템의 경쟁 조건

Linux의 Perf 서브시스템은 하드웨어 및 소프트웨어 성능 분석 및 모니터링을 위한 프레임워크를 제공하는 커널 기반 서브시스템입니다. 원래는 2.6.31 버전에서 Linux 커널에 병합되었으며 커널 하위 시스템과 인터페이스하는 사용자 공간 유틸리티(perf)가 있습니다. 사용자 공간 perf 도구는 하드웨어 이벤트(CPU의 레지스터에서 실행되는 컨텍스트 스위치 및 명령어)와 소프트웨어 이벤트(소프트웨어 카운터 및 트레이스포인트를 통해)를 기록, 계산,b 및 샘플링할 수 있습니다.

CWE-362로 분류된 취약점 CVE-2022-1729는 perf_event_open 시스콜의 경쟁 조건이며 Norbert Slusarek에 의해 발견되었습니다. 매뉴얼 페이지에 따르면, "perf_event_open()을 호출하면 성능 정보를 측정할 수 있는 파일 설명자가 생성됩니다. 각 파일 기술자는 측정되는 하나의 이벤트에 해당하며, 이를 함께 그룹화하여 여러 이벤트를 동시에 측정할 수 있습니다."

이 경합 조건은 커널 v4.0-rc1부터 존재했던 것으로 보이며, 권한 상승 및 임의 코드 실행을 초래할 수 있습니다. 이 취약점에 대한 패치는 Linux 커널 5.17.10-rc1 릴리스 주기의 일부입니다.

또한 RedHat의 완화 방법은 권한이 없는 사용자가 커널의 Perf 하위 시스템에 액세스하는 것을 제한하기 위해 sysctl을 통해 kernel.perf_event_paranoid 변수를 '3'으로 설정하는 것을 제안합니다. 

BIND의 서비스 거부

ISC는 지난주 BIND 버전 9.18.0~9. 18.29.19 개발 브랜치 v9.19.0에 영향을 미치는 심각도가 높은 취약점에 대한 보안 권고문을 발표했습니다. 토마스 암가튼이 처음 발견한 이 취약점은 네트워크를 통해 악용될 수 있으며, ISC에서 7.0의 CVSS 점수를 부여받았습니다.

특정 상황에서 익스플로잇에 성공하면 http TLS 수신기에 대한 클라이언트 TLS 연결이 너무 일찍 파괴되면 네임드 데몬이 어설션 실패(서비스 거부로 이어짐)와 함께 종료됩니다. 취약한 시스템은 DNS over HTTPS가 활성화되어 있고 네임드 구성의 수신 대기 문에 http에 대한 참조를 포함하는 BIND 서버로 구성됩니다. DNS over TLS만 사용하는 구성은 권고에 따라 이 취약점의 영향을 받지 않습니다. 

현재 알려진 해결 방법은 없지만 ISC는 이 문제를 완화하기 위해 안정 버전에서는 v9.18.3으로 , 개발 버전에서는 v9.19.1로 각각 업그레이드할 것을 권장하고 있습니다.

위험 평가 계산기

취약점 관리 수명 주기에서는 조직의 인프라에 영향을 미칠 수 있는 새로운 취약점과 관련된 기술적 및 비즈니스 영향을 추정하는 것이 중요합니다. 

위험 평가 방법론은 악용 가능성, 공격자의 기술 수준, 발견의 용이성 등 다양한 요소를 고려합니다. 

이러한 요소를 기반으로 전반적인 위험 심각도를 계산하는 방법론 중 하나가 OWASP의 방법론입니다.

OWASP의 위험도 평가 방법론을 기반으로 하는 Ivan Markovic의 위험도 평가 계산기는 오픈 소스 도구로 제공됩니다. 위험도는 다음과 같이 계산됩니다:

위험 = 가능성 * 영향

위의 공식에서 악용 가능성은 관련 고려 사항을 추가로 고려하는 몇 가지 요소에 따라 달라집니다:

  • 위협 행위자: 기술 수준, 동기, 기회, 위협 행위자의 규모.
  • 취약성 요인: 발견 및 익스플로잇의 용이성, 취약성에 대한 인식, 침입 탐지 시스템에 의한 익스플로잇 탐지.

마찬가지로 취약점의 전반적인 영향에 영향을 미치는 요인에는 다음이 포함됩니다:

  • 기술적 영향 요인: 위협 행위자의 행동에 대한 기밀성, 무결성, 가용성 및 책임성 손실.
  • 비즈니스 요인: 재정 및 평판 손상, 규정 미준수, 개인정보 보호 위반.

따라서 취약점의 전체 위험 점수를 통해 소유자는 정보에 입각한 결정을 내릴 수 있고 패치의 우선순위를 정하는 데 도움이 됩니다.

계산기의 소스 코드는 github에서 확인할 수 있으며, OWASP의 위험 평가 방법론에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

추천 사항

바닥만 보일 뿐 대부분 어둠 속에 놓여 있는 불길해 보이는 방입니다. "어둠 속에서 섀도 API에 대해 알고 계십니까?"라는 문구가 적혀 있습니다.
알렉스 렁의 헤드샷.

섀도 API에 대해 잘 모르시나요?

2024년 10월 31일
by Alex Leung
섀도 API는 일반적으로 API를 개발할 때 생각하지 않는 위험입니다. 실제 사례를 통해 섀도 API가 어떤 위협이 되는지 알아보세요.
보안
웹사이트 주소의 보안 잠금 기호에 마우스 커서가 가까이 있는 각진 브라우저 창 그림. "느슨한 입술도 웹사이트를 침몰시킬 수 있습니다"라는 텍스트가 표시되어 있으며 "침몰"과 "웹사이트"라는 단어가 굵은 글씨로 강조 표시되어 있습니다.
알렉스 렁의 헤드샷.

느슨한 입술은 웹사이트도 침몰시킬 수 있습니다.

2024년 10월 21일
by Alex Leung
이 블로그에서는 기술 스택에 노출된 버전 번호가 어떻게 심각한 취약점으로 이어질 수 있는지, 그리고 보안을 강화하기 위해 무엇을 할 수 있는지에 대해 자세히 설명합니다.
보안
"비프로덕션 하위 도메인에 주의하세요"라는 텍스트가 있는 그림
알렉스 렁의 헤드샷.

비프로덕션 하위 도메인에 주의하기

2024년 10월 17일
by Alex Leung
보안팀은 조직의 주요 프로덕션 도메인에 집중하는 경우가 많습니다. 비프로덕션 하위 도메인에 주의를 기울이는 것이 중요한 이유를 알아보세요.
보안

내용

댓글 남기기

이메일 주소는 게시되지 않습니다. 필수 필드가 표시됩니다 *