주요정보통신기반기설 기술적 취약점 분석 평가 방법 상세가이드/UNIX 서버 진단

3.15. DNS 보안 버전 패치 [U-33] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)

재민스 2021. 11. 6. 09:18

가. 취약점 개요

    내용 : BIND 최신버전 사용 유무 및 주기적 보안 패치 여부 점검

    목적 : 취약점이 발표되지 않은 BIND 버전의 사용을 목적으로 함

    보안 위협

-      최신버전(2016.01 기준 9.10.3-P2) 이하의 버전에서는 서비스거부 공격, 버퍼 오버플로우(Buffer Overflow) DNS 서버 원격 침입 등의 취약성이 존재함

    참고  

※ BIND(Berkeley Internet Name Domain): BIND BSD 기반의 유닉스 시스템을 위해 설 계된 DNS로 서버와 resolver 라이브러리로 구성되어 있음. 네임서버는 클라이언트들이 이름 자원들이나 객체들에 접근하여, 네트워크 내의 다른 객체들과 함께 정보를 공유 할 수 있게 해주는 네트워크 서비스로 사실상 컴퓨터 네트워크 내의 객체들을 위한 분산 데이터베이스 시스템임

 

나. 점검방법

    대상 : SOLARIS, LINUX, AIX, HP-UX

    판단기준

-      양호 : DNS 서비스를 사용하지 않거나 주기적으로 패치를 관리하고 있는 경우

-      취약 : DNS 서비스를 사용하며 주기적으로 패치를 관리하고 있지 않는 경우

    점검 명령어

OS 점검 파일
SOLARIS, LINUX, AIX, HP-UX DNS 서비스 사용 및 BIND 버전 확인
#ps -ef | grep named
named -v
"DNS" 서비스를 사용하지 않는 경우 서비스 중지
"DNS" 서비스 사용 시 BIND 버전 확인 후 아래의 보안설정방법에 따라 최신 버전
으로 업데이트

 

다. 조치방법

    조치방법 :

-      DNS 서비스를 사용하지 않을 경우 서비스 중지, 사용할 경우 패치 관리 정책을 수립하여 주기적으로 패치 적용

DNS 서비스의 경우 대부분의 버전에서 취약점이 보고되고 있기 때문에 O/S 관리자, 서비스 개발자가 패치 적용에 따른 서비스 영향 정도를 정확히 파악하여 주기적인 패치 적용 정책 수립 후 적용

 

    SOLARIS, LINUX, AIX, HP-UX

-      BIND 거의 모든 버전이 취약한 상태로서 최신 버전으로 업데이트가 요구됨

-      다음은 구체적인 BIND 취약점들이며, 취약점 관련 버전을 사용하는 시스템에서는 버전 업그레이드를 하여야

     Inverse Query 취약점 (Buffer Overflow) : BIND 4.9.7이전 버전과 BIND 8.1.2 이전 버전

     NXT버그 (buffer overflow) : BIND 8.2, 8.2 p1, 8.2.1버전

     solinger버그 (Denial of Service) : BIND 8.1 이상버전

     fdmax 버그 (Denial of Service) : BIND 8.1 이상버전

     Remote Execution of Code(Buffer Overflow) : BIND 4.9.5 to 4.9.10, 8.1, 8.2 to 8.2.6,

     8.3.0 to 8.3.3 버전

     Multiple Denial of Service: BIND 8.3.0 - 8.3.3, 8.2 - 8.2.6 버전

     LIBRESOLV: buffer overrun(Buffer Overflow) : BIND 4.9.2 to 4.9.10 버전

     OpenSSL (buffer overflow) : BIND 9.1, BIND 9.2 if built with OpenSSL(configure

     --with-openssl)

     libbind (buffer overflow) : BIND 4.9.11, 8.2.7, 8.3.4, 9.2.2 이외의 모든 버전

     DoS internal consistency check (Denial of Service) : BIND 9 ~ 9.2.0 버전

     tsig bug (Access possible) : BIND 8.2 ~ 8.2.3 버전

     complain bug (Stack corruption, possible remote access) : BIND 4.9.x 거의 모든 버전

     zxfr bug (Denial of service) : BIND 8.2.2, 8.2.2 patchlevels 1 through 6 버전

     sigdiv0 bug (Denial of service) : BIND 8.2, 8.2 patchlevel 1, 8.2.2 버전

     srv bug(Denial of service): BIND 8.2, 8.2 patchlevel 1, 8.2.1, 8.2.2, 8.2.2 patchlevels 1-6 버전

     nxt bug (Access possible) : BIND 8.2, 8.2 patchlevel 1, 8.2.1 버전

     BIND 4.9.8 이전 버전, 8.2.3 이전 버전과 관련된 취약점

        •  TSIG 핸들링 버퍼오버플로우 취약점

        •  nslookupComplain() 버퍼오버플로우 취약점

        •  nslookupComplain() input validation 취약점

        •  information leak 취약점

        •  sig bug Denial of service 취약점

        •  naptr bug Denial of service 취약점

        •  maxdname bug enial of service 취약점

 

Bind 최신버전 다운로드 사이트

 http://www.isc.org/downloads/

 

각 버전에 대한 취약점 정보 사이트

-      BIND 8 Vulnerability matrix :

https://kb.isc.org/article/AA-00959/0/BIND-8-Security-Vulnerability-Matrix.html

-      BIND 9 Vulnerability matrix :

https://kb.isc.org/article/AA-00913/74/BIND-9-Security-Vulnerability-Matrix.html

 

 

라. 조치시 영향

    패치를 적용 시 시스템 및 서비스 영향 정도를 충분히 고려하여야 함

반응형
저작자표시

'주요정보통신기반기설 기술적 취약점 분석 평가 방법 상세가이드 > UNIX 서버 진단' 카테고리의 다른 글

3.17. 웹서비스 디렉토리 리스팅 제거 [U-35] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)  (0) 2021.11.06
3.16. DNS Zone Transfer 설정 [U-34] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)  (0) 2021.11.06
3.14. 일반사용자의 Sendmail 실행 방지 [U-32] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)  (0) 2021.11.06
3.13. 스팸 메일 릴레이 제한 [U-31] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)  (0) 2021.11.06
3.12. Sendmail 버전 점검 [U-30] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)  (0) 2021.11.06

'주요정보통신기반기설 기술적 취약점 분석 평가 방법 상세가이드/UNIX 서버 진단'의 다른글

  • 현재글3.15. DNS 보안 버전 패치 [U-33] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이드(2021)

관련글

댓글

티스토리툴바