메인 콘텐츠로 건너뛰기
모든 제품 보기
컴퓨팅
스토리지
데이터베이스
서비스
네트워킹
개발자 툴
전송
보안
업계
요금제
커뮤니티
저희와 함께하세요
블로그 살펴보기
카테고리
548
  1. 클라우드 컨설팅 서비스
    3
  2. 클라우드 개요
    42
  3. 컴퓨팅
    8
  4. 컨테이너(쿠베르네츠, 도커)
    29
  5. 데이터베이스
    14
  6. 개발자 툴
    27
  7. Linode
    241
  8. Linux
    69
  9. Multicloud
    4
  10. 네트워킹
    28
  11. 오픈 소스
    4
  12. 파트너 네트워크
    6
  13. 보안
    52
  14. 스토리지
    21
저자 548
  1. Abe Massry 2
  2. Andrew Stebbins 2
  3. Andy Stevens 3
  4. Bradley LaBoon 1
  5. Billy Thompson 3
  6. Christopher Aker 177
  7. Daniele Polencic 3
  8. David Monschein 2
  9. Dan Spataro 2
  10. Elvis Segura 1
  11. Gardiner Bryant 1
  12. Holden Morris 4
  13. Hillary Wilmoth 54
  14. Jim Ackley 4
  15. Jon Frederickson 1
  16. Jonathan Hill 2
  17. Justin Mitchel 3
  18. James Steel 3
  19. Linode 51
  20. Linode Events 8
  21. The Linode Security Team 115
  22. The Linode Network & Security Teams 1
  23. LINQ 1
  24. Leslie Salazar 1
  25. Michelle Berg 1
  26. Mike Fischler 1
  27. Nathan Melehan 2
  28. Nigel Poulton 1
  29. Rick Myers 7
  30. Richard Tubb 1
  31. Shawn Michels 2
  32. Linode Support 11
블로그 안전 Linode Security Digest May 23-29, 2022

Linode Security Digest May 23-29, 2022

Linode
The Linode Security Team
, 26을 2022 수 있습니다
리노드 시큐리티 다이제스트

이번 주 다이제스트의 주제에는 Linux Perf 하위 시스템의 경쟁 조건, BIND의 서비스 거부 및 OWASP의 위험 등급 방법론을 기반으로 한 위험 평가 계산기가 포함됩니다.

Linux Perf 하위 시스템의 경쟁 조건

Linux의 Perf 서브시스템은 하드웨어 및 소프트웨어 성능 분석 및 모니터링을 위한 프레임워크를 제공하는 커널 기반 서브시스템입니다. 원래 v2.6.31 에서 Linux 커널에 병합되었으며 커널 하위 시스템과 인터페이스하는 사용자 공간 유틸리티 (perf)가 있습니다. 사용자 공간 perf 도구는 하드웨어 이벤트 (CPU의 레지스터에 의해 실행되는 컨텍스트 스위치 및 명령) 및 소프트웨어 이벤트 (소프트웨어 카운터 및 추적 점을 통해)를 기록, 계산, b 및 샘플링 할 수 있습니다.

CWE-362로 분류된 취약점 CVE-2022-1729perf_event_open 시스템의 경쟁 조건이며 Norbert Slusarek에 의해 발견되었습니다. 매뉴얼 페이지에 따르면 "perf_event_open() 호출은 성능 정보를 측정 할 수있는 파일 설명자를 만듭니다. 각 파일 디스크립터는 측정되는 하나의 이벤트에 대응한다; 이들은 여러 이벤트를 동시에 측정하기 위해 함께 그룹화 될 수 있습니다. "

경쟁 조건은 커널 v4.0-rc1 이후로 존재 한 것으로 보이며 권한 에스컬레이션 및 임의 코드 실행을 초래할 수 있습니다. 이 취약점에 대한 패치는 Linux 커널 5.17.10-rc1 릴리스 주기의 일부입니다.

또한 RedHat의 완화 방법은 권한이 없는 사용자가 커널의 Perf 하위 시스템에 액세스하는 것을 제한하기 위해 sysctl을 통해 kernel.perf_event_paranoid 변수를 '3'으로 설정하는 것이 좋습니다. 

BIND의 서비스 거부

ISC는 지난 주 9.18.0에서 9.18.2 및 9.19 개발 분기v9.19.0에 영향을 미치는 심각도가 높은 취약점에 대한 보안 권고를 발표했습니다. Thomas Amgarten이 처음 발견한 이 취약점은 네트워크를 통해 악용할 수 있으며 ISC에 의해 할당된 CVSS 점수는 7.0입니다.

특정 상황에서 악용에 성공하면 http TLS 수신기에 대한 클라이언트 TLS 연결이 너무 일찍 파괴되는 경우 명명된 디먼이 어설션 실패(서비스 거부로 이어짐)와 함께 종료됩니다. 취약한 시스템은 HTTPS를 통한 DNS를 사용하도록 설정된 BIND 서버로 구성되며 명명된 구성의 수신 대기 문 내에 http에 대한 참조를 포함합니다. TLS를 통한 DNS만 사용하는 구성은 권고에 따라 이 취약점의 영향을 받지 않습니다. 

현재 알려진 해결 방법은 없지만 ISC는 완화를 위해 안정 분기의 v9.18.3과 개발 분기의 v9.19.1로 각각 업그레이드하는 것이 좋습니다.

위험 평가 계산기

취약성 관리 수명 주기에서는 조직의 인프라에 영향을 줄 수 있는 새로운 취약성과 관련된 기술 및 비즈니스 영향을 예측하는 것이 중요합니다. 

위험 평가 방법론은 악용 가능성, 적의 기술 수준 및 발견의 용이성과 같은 다양한 요소를 고려합니다. 

OWASP의 이러한 방법론 중 하나는 이러한 요인을 기반으로 전반적인 위험 심각도를 계산합니다.

OWASP의 위험 등급 방법론을 기반으로 한 Ivan Markovic의 위험 평가 계산기는 오픈 소스 도구로 사용할 수 있습니다. 위험은 다음과 같이 계산됩니다.

위험 = 가능성 * 영향

위의 공식에서 착취의 가능성은 관련 고려 사항을 추가로 고려하는 몇 가지 요인에 달려 있습니다.

  • 위협 에이전트: 기술 수준; 동기, 기회; 위협 행위자의 크기.
  • 취약점 요인: 발견 및 악용의 용이성; 취약성에 대한 인식; 침입 탐지 시스템에 의한 악용 탐지.

마찬가지로 취약점의 전반적인 영향에 영향을 미치는 요인은 다음과 같습니다.

  • 기술적 영향 요인: 위협 행위자의 행동에 대한 기밀성, 무결성, 가용성 및 책임성 상실.
  • 비즈니스 요인: 재무 및 평판 손상; 규정 미준수; 및 개인 정보 침해.

따라서 취약점의 전반적인 위험 점수를 통해 소유자는 정보에 입각 한 결정을 내릴 수 있으며 패치 우선 순위를 정하는 데 도움이됩니다.

계산기의 소스 코드는 github에서 찾을 수 있으며 OWASP의 위험 평가 방법론에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

추천 사항

HackerSploit: Docker Security Essentials (도커 보안 필수사항)

해커플로이트: 도커 보안 필수 사항

Hackersploit: Docker Security Essentials(도커 보안 필수사항)은 도커 플랫폼 및 컨테이너 감사와 보안에 대한 가이드입니다.
보안
1

올인원 오픈 소스 보안 스캐너 Trivy를 사용한 도커 이미지 분석

트리비는 사이버 보안 전문가가 취약점 및 IaC 구성 오류, SBOM 발견 등을 찾는 데 사용합니다.
보안
리노드 시큐리티 다이제스트
Linode

리노드 보안 다이제스트, 2023년 3월 13~19일

Mar 17, 2023
으로 The Linode Security Team
이번 주 다이제스트에서는 OAuth 인증, ShadowsocksX-NG, Apache HTTP 서버 취약점 등에 대해 알아보세요.
보안

내용

댓글 남기기

이메일 주소는 게시되지 않습니다. 필수 필드가 표시됩니다 *