메인 콘텐츠로 건너뛰기
모든 제품 보기
컴퓨팅
스토리지
데이터베이스
서비스
네트워킹
개발자 툴
전송
보안
업계
요금제
커뮤니티
저희와 함께하세요
블로그 살펴보기
카테고리
564
  1. 클라우드 컨설팅 서비스
    4
  2. 클라우드 개요
    42
  3. 컴퓨팅
    9
  4. 컨테이너(쿠베르네츠, 도커)
    29
  5. 데이터베이스
    17
  6. 개발자 툴
    29
  7. Linode
    243
  8. Linux
    69
  9. Multicloud
    4
  10. 네트워킹
    29
  11. 오픈 소스
    5
  12. 파트너 네트워크
    7
  13. 보안
    56
  14. 스토리지
    21
저자 564
  1. Abe Massry 2
  2. Al Newkirk 1
  3. Alexander Newnham 2
  4. Andrew Sauber 1
  5. Andrew Stebbins 2
  6. Andy Stevens 4
  7. Bradley LaBoon 1
  8. Blair Lyon 10
  9. Billy Thompson 3
  10. Christopher Aker 177
  11. Cassie Bubnis 1
  12. Daniele Polencic 3
  13. David Monschein 2
  14. David Rodriguez 1
  15. Dan Spataro 2
  16. Elvis Segura 1
  17. Gardiner Bryant 1
  18. Holden Morris 4
  19. Hillary Wilmoth 56
  20. Jim Ackley 4
  21. Justin Cobbett 10
  22. Jon Frederickson 1
  23. Jonathan Hill 2
  24. Justin Mitchel 3
  25. James Steel 5
  26. Jamie Sherkness 8
  27. Linode 52
  28. Linode Events 8
  29. The Linode Security Team 119
  30. The Linode Network & Security Teams 1
  31. LINQ 1
  32. Leslie Salazar 1
  33. Michelle Berg 1
  34. Mitch Donaberger 1
  35. Mike Fischler 1
  36. Mike Maney 9
  37. Maddie Presland 15
  38. Mike Quatrani 4
  39. Nathan Melehan 2
  40. Nigel Poulton 1
  41. Rick Myers 7
  42. Richard Tubb 1
  43. Sal Carrasco 1
  44. Shawn Michels 2
  45. Linode Support 12
  46. Tom Asaro 18
블로그 안전 Linode Security Digest May 23-29, 2022

Linode Security Digest May 23-29, 2022

Linode
The Linode Security Team
, 26을 2022 수 있습니다
리노드 시큐리티 다이제스트

이번 주 다이제스트의 주제에는 Linux Perf 하위 시스템의 경쟁 조건, BIND의 서비스 거부 및 OWASP의 위험 등급 방법론을 기반으로 한 위험 평가 계산기가 포함됩니다.

Linux Perf 하위 시스템의 경쟁 조건

Linux의 Perf 서브시스템은 하드웨어 및 소프트웨어 성능 분석 및 모니터링을 위한 프레임워크를 제공하는 커널 기반 서브시스템입니다. 원래 v2.6.31 에서 Linux 커널에 병합되었으며 커널 하위 시스템과 인터페이스하는 사용자 공간 유틸리티 (perf)가 있습니다. 사용자 공간 perf 도구는 하드웨어 이벤트 (CPU의 레지스터에 의해 실행되는 컨텍스트 스위치 및 명령) 및 소프트웨어 이벤트 (소프트웨어 카운터 및 추적 점을 통해)를 기록, 계산, b 및 샘플링 할 수 있습니다.

CWE-362로 분류된 취약점 CVE-2022-1729perf_event_open 시스템의 경쟁 조건이며 Norbert Slusarek에 의해 발견되었습니다. 매뉴얼 페이지에 따르면 "perf_event_open() 호출은 성능 정보를 측정 할 수있는 파일 설명자를 만듭니다. 각 파일 디스크립터는 측정되는 하나의 이벤트에 대응한다; 이들은 여러 이벤트를 동시에 측정하기 위해 함께 그룹화 될 수 있습니다. "

경쟁 조건은 커널 v4.0-rc1 이후로 존재 한 것으로 보이며 권한 에스컬레이션 및 임의 코드 실행을 초래할 수 있습니다. 이 취약점에 대한 패치는 Linux 커널 5.17.10-rc1 릴리스 주기의 일부입니다.

또한 RedHat의 완화 방법은 권한이 없는 사용자가 커널의 Perf 하위 시스템에 액세스하는 것을 제한하기 위해 sysctl을 통해 kernel.perf_event_paranoid 변수를 '3'으로 설정하는 것이 좋습니다. 

BIND의 서비스 거부

ISC는 지난 주 9.18.0에서 9.18.2 및 9.19 개발 분기v9.19.0에 영향을 미치는 심각도가 높은 취약점에 대한 보안 권고를 발표했습니다. Thomas Amgarten이 처음 발견한 이 취약점은 네트워크를 통해 악용할 수 있으며 ISC에 의해 할당된 CVSS 점수는 7.0입니다.

특정 상황에서 악용에 성공하면 http TLS 수신기에 대한 클라이언트 TLS 연결이 너무 일찍 파괴되는 경우 명명된 디먼이 어설션 실패(서비스 거부로 이어짐)와 함께 종료됩니다. 취약한 시스템은 HTTPS를 통한 DNS를 사용하도록 설정된 BIND 서버로 구성되며 명명된 구성의 수신 대기 문 내에 http에 대한 참조를 포함합니다. TLS를 통한 DNS만 사용하는 구성은 권고에 따라 이 취약점의 영향을 받지 않습니다. 

현재 알려진 해결 방법은 없지만 ISC는 완화를 위해 안정 분기의 v9.18.3과 개발 분기의 v9.19.1로 각각 업그레이드하는 것이 좋습니다.

위험 평가 계산기

취약성 관리 수명 주기에서는 조직의 인프라에 영향을 줄 수 있는 새로운 취약성과 관련된 기술 및 비즈니스 영향을 예측하는 것이 중요합니다. 

위험 평가 방법론은 악용 가능성, 적의 기술 수준 및 발견의 용이성과 같은 다양한 요소를 고려합니다. 

OWASP의 이러한 방법론 중 하나는 이러한 요인을 기반으로 전반적인 위험 심각도를 계산합니다.

OWASP의 위험 등급 방법론을 기반으로 한 Ivan Markovic의 위험 평가 계산기는 오픈 소스 도구로 사용할 수 있습니다. 위험은 다음과 같이 계산됩니다.

위험 = 가능성 * 영향

위의 공식에서 착취의 가능성은 관련 고려 사항을 추가로 고려하는 몇 가지 요인에 달려 있습니다.

  • 위협 에이전트: 기술 수준; 동기, 기회; 위협 행위자의 크기.
  • 취약점 요인: 발견 및 악용의 용이성; 취약성에 대한 인식; 침입 탐지 시스템에 의한 악용 탐지.

마찬가지로 취약점의 전반적인 영향에 영향을 미치는 요인은 다음과 같습니다.

  • 기술적 영향 요인: 위협 행위자의 행동에 대한 기밀성, 무결성, 가용성 및 책임성 상실.
  • 비즈니스 요인: 재무 및 평판 손상; 규정 미준수; 및 개인 정보 침해.

따라서 취약점의 전반적인 위험 점수를 통해 소유자는 정보에 입각 한 결정을 내릴 수 있으며 패치 우선 순위를 정하는 데 도움이됩니다.

계산기의 소스 코드는 github에서 찾을 수 있으며 OWASP의 위험 평가 방법론에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

추천 사항

리노드 시큐리티 다이제스트
Linode

리노드 보안 다이제스트, 2023년 5월 22일 ~ 5월 29일

2023년 5월 26일
으로 The Linode Security Team
이번 주에는 리눅스 넷필터 사용 후 커널 취약점, 워드프레스 코어 v6.2 XSS/CSRF/디렉토리 트래버스 취약점 등에 대해 논의합니다.
보안
리노드 시큐리티 다이제스트
Linode

리노드 보안 다이제스트, 2023년 5월 8일 - 5월 15일

2023년 5월 12일
으로 The Linode Security Team
워드프레스 플러그인 XSS 취약점, cPanel XSS 취약점, Flask의 잠재적 정보 노출 취약점에 대해 설명합니다.
보안
이미지에는 휴대폰, 지문 아이콘, 실제 2단계 인증 토큰과 함께 Gardiner Bryant 및 2단계 인증 사용이라는 텍스트가 표시됩니다.

2단계 인증을 추가하여 계정을 보호하는 방법

이 동영상에서는 가디너가 리노드 계정에 2단계 인증을 활성화하여 계정 보안을 강화하는 방법을 설명합니다.
보안

내용

댓글 남기기

이메일 주소는 게시되지 않습니다. 필수 필드가 표시됩니다 *