주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Unix 점검 항목
■ 취약점 개요
○ 점검개요 : BIND 최신버전 사용 유무 및 주기적 보안 패치 여부 점검
○ 점검목적 : 취약점이 발표되지 않은 BIND 버전의 사용
○ 보안위협 : 최신버전(2016.01 기준 9.10.3-P2) 이하의 버전에서는 서비스거부 공격, 버퍼 오버플로우(Buffer Overflow) 및 DNS 서버 원격 침입 등의 취약성이 존재
○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등
○ 판단기준
- 양호 : DNS 서비스를 사용하지 않거나 주기적으로 패치를 관리하고 있는 경우
- 취약 : DNS 서비스를 사용하며 주기적으로 패치를 관리하고 있지 않는 경우
■ 점검방법
○ LINUX, AIX, HP-UX, SOLARIS
DNS 서비스 사용 및 BIND 버전 확인
#ps -ef | grep named
named -v
※ “DNS” 서비스를 사용하지 않는 경우 서비스 중지한다.
※ “DNS” 서비스 사용 시 BIND 버전 확인 후 조치방안에 따라 최신 버전으로 업데이트한다.
■ 조치방안
○ LINUX, AIX, HP-UX, SOLARIS 5.9 이하 버전
1. BIND는 거의 모든 버전이 취약한 상태로서 최신 버전으로 업데이트가 요구
2. 다음은 구체적인 BIND 취약점들이며, 취약점 관련 버전을 사용하는 시스템에서는 버전 업데이트
ㆍInverse Query 취약점(Buffer Overflow) : BIND 4.9.7이전 버전과 BIND 8.1.2 이전 버전
ㆍNXT버그(buffer overflow) : BIND 8.2, 8.2 pi, 8.2.1 버전
ㆍsolinger버그(Denial of Service) : BIND 8.1 이상버전
ㆍfdmax 버그(Denial of Service) : BIND 8.1 이상버전
ㆍRemote Execution of Code(Buffer Overflow) : BIND 4.9.5 to 4.9.10, 8.1, 8.2 to 8.2.6, 8.3.0 to 8.3.3 버전
ㆍMultiple Denial of Service: BIND 8.3.0 - 8.3.3, 8.2 - 8.2.6 버전
ㆍLIBRESOLV: buffer overrun(Buffer Overflow) : BIND 4.9.2 to 4.9.10 버전
ㆍOpenSSL(buffer overflow) : BIND 9.1, BIND 9.2 if built with OpenSSL(configure —with-openssl)
ㆍlibbind(buffer overflow) : BIND 4.9그 1, 8.2.7, 8.3.4, 9.2.2 이외의 모든 버전
ㆍDoS internal consistency check(Denial of Service) : BIND 9 ~ 9.2.0 버전
ㆍtsig bug(Access possible) : BIND 8.2 ~ 8.2.3 버전
ㆍcomplain bug(Stack corruption, possible remote access) : BIND 4.9.x 거의 모든 버전
ㆍzxfr bug(Denial of service) : BIND 8.2.2, 8.2.2 patchlevels 1 through 6 버전
ㆍsigdivO bug(Denial of service) : BIND 8.2, 8.2 patchlevel 1, 8.2.2 버전
ㆍsrv bug(Denial of service): BIND 8.2, 8.2 patchlevel 1, 8.2.1, 8.2.2, 8.2.2 patchlevels 1-6 버전
ㆍnxt bug(Access possible) : BIND 8.2, 8.2 patchlevel 1, 8.2.1 버전
ㆍBIND 4.9.8 이전 버전, 8.2.3 이전 버전과 관련된 취약점
TSIG 핸들링 버퍼오버플로우 취약점
nslookupComplainO 버퍼오버플로우 취약점
nslookupComplainO input validation 취약점
information leak 취약점
sig bug Denial of service 취약점
naptr bug Denial of service 취약점
maxdname bug enial of service 취약점
※ BIND 최신버전 다운로드 사이트
※ 각 버전에 대한 취약점 정보 사이트
https://kb.isc.Org/article/AA-00959/0/BIND-8-Security-Vulnerability-Matrix.html(BIND 8 Vulnerability matrix)
https://kb.isc.org/article/AA-00913/74/BIND-9-Security-Vulnerability-Matrix.html(BIND 9 Vulnerability matrix)
■ 조치 시 영향
일반적인 경우 무관
■ BIND(Berkeley Internet Name Domain)
○ BIND는 BSD 기반의 유닉스 시스템을 위해 설계된 DNS로 서버와 resolver 라이브러리로 구성
○ 네임서버는 클라이언트들이 이름 자원들이나 객체들에 접근하여, 네트워크 내의 다른 객체들과 함께 정보를 공유 할 수 있게 해주는 네트워크 서비스로 사실상 컴퓨터 네트워크 내의 객체들을 위한 분산 데이터베이스 시스템
'취약점 진단 가이드 > UNIX 서버 진단 가이드' 카테고리의 다른 글
U-51(상) DNS Zone Transfer 설정 (0) | 2021.01.28 |
---|---|
U-60(하) ftp 서비스 확인 (0) | 2021.01.27 |
U-49(상) 일반사용자의 Sendmail 실행 방지 (0) | 2021.01.26 |
U-48(상) 스팸 메일 릴레이 제한 (0) | 2021.01.26 |
U-47(상) Sendmail 버전 점검 (0) | 2021.01.25 |