1-Day 취약점 분석 (2) 썸네일형 리스트형 OpenSSL 취약점 Heart Bleed Bug (CVE-2014-0160) □ 취약점 요약 1. Heart Beat 기능 구현 오류를 통한 민감 정보 탈취 가. OpenSSL 라이브러리를 구성하는 TLS/DTLS의 확장 모듈인 Heart Beat의 기능 구현 오류로, 공격 대상 서버의 메모리에 저장된 데이터를 읽을 수 있는 취약점 나. 조작된 Heart Beat 요청을 통해 1회 최대 64KB까지 탈취 가능, 반복적인 Heart Beat 요청으로 서버에 저장된 민감한 정보를 임의적으로 탈취 가능 다. Heart Beat가 HTTP Keep-Alive 기능보다 빠르게 동작하기 때문에 암호화 세션 상태 유지를 위해 Heart Beat를 사용 2. Heart Beat 기능 구현 오류에 의한 취약성 가. (Heart Beat 기능) 세션 연결 유지를 위해 클라이언트는 서버에 임의의 데.. 커널 파일시스템 LPE 취약점(CVE-2021-33909) □ 요 약 1. 취약점 요약 가. 커널 파일시스템 구현 취약점, 데이터 형 변환시 Integer Overflow 발생으로 인해 특정 위치에 값을 쓸 수 있는 Out of Bounds Write 취약점 발생 나. 경로가 긴 파일을 올바르게 처리하지 않을 경우 취약점 발생을 촉진 2. 영향 가. 취약점을 악용하여 일반 사용자가 root 계정 획득 가능, 서비스 거부 공격 시도 가능 나. 취약 버전 1) Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11, and Fedora 34 Workstation, 기타 확인되지 않은 RedHat 계열 배포판 2) 해당 취약점이 내포된 리눅스 커널 (버전 3.16 ~ 5.13.) □ 세부분석 1. 취약점이 발생하는 함수를 호출하는.. 이전 1 다음
