메인 콘텐츠로 건너뛰기
블로그 안전 Linode Security Digest May 23-29, 2022

Linode Security Digest May 23-29, 2022

리노드 시큐리티 다이제스트

이번 주 다이제스트의 주제에는 Linux Perf 하위 시스템의 경쟁 조건, BIND의 서비스 거부 및 OWASP의 위험 등급 방법론을 기반으로 한 위험 평가 계산기가 포함됩니다.

Linux Perf 하위 시스템의 경쟁 조건

Linux의 Perf 서브시스템은 하드웨어 및 소프트웨어 성능 분석 및 모니터링을 위한 프레임워크를 제공하는 커널 기반 서브시스템입니다. 원래 v2.6.31 에서 Linux 커널에 병합되었으며 커널 하위 시스템과 인터페이스하는 사용자 공간 유틸리티 (perf)가 있습니다. 사용자 공간 perf 도구는 하드웨어 이벤트 (CPU의 레지스터에 의해 실행되는 컨텍스트 스위치 및 명령) 및 소프트웨어 이벤트 (소프트웨어 카운터 및 추적 점을 통해)를 기록, 계산, b 및 샘플링 할 수 있습니다.

CWE-362로 분류된 취약점 CVE-2022-1729perf_event_open 시스템의 경쟁 조건이며 Norbert Slusarek에 의해 발견되었습니다. 매뉴얼 페이지에 따르면 "perf_event_open() 호출은 성능 정보를 측정 할 수있는 파일 설명자를 만듭니다. 각 파일 디스크립터는 측정되는 하나의 이벤트에 대응한다; 이들은 여러 이벤트를 동시에 측정하기 위해 함께 그룹화 될 수 있습니다. "

경쟁 조건은 커널 v4.0-rc1 이후로 존재 한 것으로 보이며 권한 에스컬레이션 및 임의 코드 실행을 초래할 수 있습니다. 이 취약점에 대한 패치는 Linux 커널 5.17.10-rc1 릴리스 주기의 일부입니다.

또한 RedHat의 완화 방법은 권한이 없는 사용자가 커널의 Perf 하위 시스템에 액세스하는 것을 제한하기 위해 sysctl을 통해 kernel.perf_event_paranoid 변수를 '3'으로 설정하는 것이 좋습니다. 

BIND의 서비스 거부

ISC는 지난 주 9.18.0에서 9.18.2 및 9.19 개발 분기v9.19.0에 영향을 미치는 심각도가 높은 취약점에 대한 보안 권고를 발표했습니다. Thomas Amgarten이 처음 발견한 이 취약점은 네트워크를 통해 악용할 수 있으며 ISC에 의해 할당된 CVSS 점수는 7.0입니다.

특정 상황에서 악용에 성공하면 http TLS 수신기에 대한 클라이언트 TLS 연결이 너무 일찍 파괴되는 경우 명명된 디먼이 어설션 실패(서비스 거부로 이어짐)와 함께 종료됩니다. 취약한 시스템은 HTTPS를 통한 DNS를 사용하도록 설정된 BIND 서버로 구성되며 명명된 구성의 수신 대기 문 내에 http에 대한 참조를 포함합니다. TLS를 통한 DNS만 사용하는 구성은 권고에 따라 이 취약점의 영향을 받지 않습니다. 

현재 알려진 해결 방법은 없지만 ISC는 완화를 위해 안정 분기의 v9.18.3과 개발 분기의 v9.19.1로 각각 업그레이드하는 것이 좋습니다.

위험 평가 계산기

취약성 관리 수명 주기에서는 조직의 인프라에 영향을 줄 수 있는 새로운 취약성과 관련된 기술 및 비즈니스 영향을 예측하는 것이 중요합니다. 

위험 평가 방법론은 악용 가능성, 적의 기술 수준 및 발견의 용이성과 같은 다양한 요소를 고려합니다. 

OWASP의 이러한 방법론 중 하나는 이러한 요인을 기반으로 전반적인 위험 심각도를 계산합니다.

OWASP의 위험 등급 방법론을 기반으로 한 Ivan Markovic의 위험 평가 계산기는 오픈 소스 도구로 사용할 수 있습니다. 위험은 다음과 같이 계산됩니다.

위험 = 가능성 * 영향

위의 공식에서 착취의 가능성은 관련 고려 사항을 추가로 고려하는 몇 가지 요인에 달려 있습니다.

  • 위협 에이전트: 기술 수준; 동기, 기회; 위협 행위자의 크기.
  • 취약점 요인: 발견 및 악용의 용이성; 취약성에 대한 인식; 침입 탐지 시스템에 의한 악용 탐지.

마찬가지로 취약점의 전반적인 영향에 영향을 미치는 요인은 다음과 같습니다.

  • 기술적 영향 요인: 위협 행위자의 행동에 대한 기밀성, 무결성, 가용성 및 책임성 상실.
  • 비즈니스 요인: 재무 및 평판 손상; 규정 미준수; 및 개인 정보 침해.

따라서 취약점의 전반적인 위험 점수를 통해 소유자는 정보에 입각 한 결정을 내릴 수 있으며 패치 우선 순위를 정하는 데 도움이됩니다.

계산기의 소스 코드는 github에서 찾을 수 있으며 OWASP의 위험 평가 방법론에 대한 자세한 내용은 여기에서 확인할 수 있습니다.


내용

댓글 남기기

이메일 주소는 게시되지 않습니다. 필수 필드가 표시됩니다 *