| [ windows ] in KIDS 글 쓴 이(By): guest (ghdalfd) <210.94.44.1> 날 짜 (Date): 2002년 10월 22일 화요일 오전 09시 26분 37초 제 목(Title): 서비스팩 3 적용 이후 패치 적용 및 설명 어떤 시스템이든 마찬가지이겠지만, 윈도우 시스템 역시 개발자의 의도와는 달리 논리적 설계 버그, 혹은 구현 버그가 없을 수 없다. 보통 1000 행의 C 코드를 작성할 때 1-2개의 버그를 초창기 발생시키는 것이 현재의 프로그래밍 기법의 한계이며, 수백만 줄에 달하는 윈도우 시스템은 최소한 수천에서 수만 개의 버그를 안고 있다고 해도 과언이 아니다. 물론, 이러한 것은 윈도우 시스템만의 문제라고 보기는 어렵다. Windows 2000 시스템은 이러한 버그를 수정하기 위해 서비스팩이라는 버그 수정 파일을 배포하며, 현재 가장 최신 버전의 서비스팩 버전은 서비스팩 3 이다. 서비스팩 3의 한글 버전은 2002년 8월에 출시되었으며, 최소한 2002년 6월까지 나타난 윈도우 시스템 버그는 서비스팩 3로 대부분 해결할 수 있다. 서비스팩은 다음 URL에서 언어권별로 제공되며, 제시된 URL은 한글로 나타난다. http://www.microsoft.com/korea/windows2000/downloads/servicepacks/sp3/download.asp 그러나, 서비스팩을 설치했다고 해서 끝나는 것은 아니다. 버그는 계속 발견되기 마련이며, 서비스팩 3가 제작될 당시에도 몇 가지 버그가 계속 발생되었다. 다음은 이러한 버그들에 대한 설명이다. 서비스팩 3 이후에 발견된 버그는 특권이나 권한을 조정하는 문제와 버퍼 오버플로우 문제에서 심각한 버그가 발생되었다. 기타 계속 발생되고 있는 자잘한 버그들이 몇 가지 존재하기는 하지만, 이는 직접적인 서버 운영과는 관계되지 않는 것이므로 그렇게 크게 걱정할 필요는 없어 보인다. 여기서는 서버 운영과 관계되지 않는 계열의 패치 권고는 생략한다. 클라이언트 시스템 위주의 패치는 다루지 않겠다. 정보 유출(Information Disclosure) 계열 RDP 프로토콜에 의한 문제(9월 18일): RDP 프로토콜은 윈도우 터미널 서버와 윈도우 XP의 원격 관리 기능에 주로 사용되는 프로토콜이다. 이 프로토콜은 원격 서버의 바탕 화면 이미지와 여러 조작들을 수행하기 위한 것으로, 윈도우 NT 4.0 터미널 서버(버전 4.0), 윈도우 2000 (버전 5.0), 윈도우 XP (버전 5.1)이 존재한다. 문제는 윈도우 2000과 윈도우 XP이상의 버전에서 발생되며, 이 버전들은 RDP 프로토콜에서 데이터의 무결성을 확인하는 체크섬(checksum)이 암호화되지 않은 평문으로 전송된다. 따라서, 일차적인 위험성은 없는 것으로 볼 수도 있지만, 네트워크 스니핑을 하여, 암호화된 세션 내용을 체크섬 값으로 일부 유추할 수 있는 가능성이 있다. 물론, 네트워크 스니핑만으로 모든 것을 알아낼 수 있을 정도로 허약하게 설계된 것은 아니다. 특정 상황에서 암호학에 고도로 정통한 이들이 RDP로 이루어지는 통신 내용을 캡처하여 분석할 경우 확률적으로 일반적인 세션만을 직접 분석할 때보다 암호를 깰 기대 시간이 줄어든다는 것 뿐이다. 따라서, 아주 심각한 논리적 버그로 분류하기는 어렵지만, 주의할 대상은 된다. Windows 2000 패치 파일: http://download.microsoft.com/download/win2000platform/Patch/ Q324380/NT5/KO/Q324380_W2K_SP4_X86_KO.exe Windows XP 패치 파일: http://download.microsoft.com/download/whistler/Patch/ Q324380/WXP/EN-US/Q324380_WXP_SP1_x86_ENU.exe 버퍼 오버플로우 계열 SMB 프로토콜 처리기에 의한 버퍼 오버플로우(8월 22일) : 여타 버퍼 오버플로우와는 달리 사용자의 셸 코드가 올라갈 수준은 못 되고, DoS가 이루어질 가능성은 매우 높다. 따라서, 잠재적인 DoS 공격 가능성을 생각해 볼 수 있다. 전형적인 버퍼 오버플로우 계열의 DoS이므로 시스템이 중단되는 결과를 가져올 수 있지만, 데이터 손상 등이 발생할 가능성은 그렇게 높지 않다. 전체 버전의 윈도우에 전부 나타날 수 있는 문제이기 때문에 영향을 받는 시스템은 전체 버전의 윈도우가 된다. 이 문제를 악용하기 위해서는 일단 특정 서버에 접속할 권한이 존재하여야 한다. 권한은 익명 사용자도 포함되기 때문에, 익명 사용자 접속을 허용하는 (웹 사이트의 IUSR_ 계정이 아닌 시스템의 NULL 계정) 경우 서비스 거부 공격을 당할 수 있다. 웹 사이트 등을 운영하는 시스템은 익명 사용자를 일단 차단하는 것으로 패치 없이 안전성을 획득할 수 있으며, 방화벽을 사용하거나 IP 필터링을 사용하고 있다면 NetBIOS가 사용하는 139번 포트나 CIFS로 이용되는 445번 포트를 차단하면 외부 사용자로부터 생기는 문제를 차단할 수 있다. 다만, 컴퓨터에 접속할 수 있는 권한의 사용자가 이러한 문제를 악의적으로 발생시키려 할 경우에는 패치 외에는 막을 방법이 없다. 이 사안은 일반적인 시스템이라면 패치를 하지 않고도 처리할 수 있고, 데이터의 파괴를 가져오지 않으므로 별 3개 수준의 위험도로 정의한다. 패치 파일은 다음 URL의 하단에 각 버전별로 존재하므로, 맞는 버전을 선택하면 된다. http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS02-045.asp 프론트페이지 서버 익스텐션 계열(9월 25일) : 사용자그룹에서는 프론트페이지 서버 익스텐션을 설치하지 말라는 권고를 낸 적이 있으며, 만일 그래도 굳이 설치한다면 무려 네번째로 나온 이 버그에 대한 해결책을 꼼꼼히 읽어야 한다. 매우 심각한 문제이나, 프론트페이지 서버 익스텐션이 설치되지 않은 시스템은 관계없다(참고로 디폴트 설치니 자신의 시스템을 다시 한 번 살펴보아야 한다) http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS02-053.asp 주의: 이 권고는 서버로 동작하는(일반 사용자가 로컬 로그온이 불가능한) 시스템만을 대상으로 하고 있다. 일반 사용자가 어떤 경로든 서버에서 프로그램을 실행하지 못할 경우에만 패치가 권고된 내용이다. |