POP 서버 취약점 분석 보고서
작성자 정보
- 웹관리자 작성
- 작성일
컨텐츠 정보
- 5,020 조회
- 0 추천
-
목록
본문
POP 서버 취약점 분석 보고서
1998. 8
김 상정/CERTCC-KR, 한국정보보호센터
1. 개요
POP 서버가 사용자 확인을 위하여 아이디와 패스워드를 입력받을 때 그 길이에 대한 한계값에 대한 검사를 충분히 하지 않아 조작된 값을 입력함으로써 원격에서 관리자 권한으로 명령을 수행시킬 수 있다.
2. POP서버의 기능
POP서버는 PC 등 클라이언트에서 메일서버에 접속하여 메일을 송·수신하도록 하는 서비스를 제공한다. 사용자가 유닉스 시스템의 POP서버를 접속할 때 사용자 아이디와 패스워드를 입력하게 되고 이러한 인증절차를 거쳐서 사용자는 유닉스 시스템에 저장된 자신의 메일을 확인할 수 있게된다.
현재 많이 사용되고 있는 POP서버 프로그램은 qpopper인데, qpopper 2.5 이전 버전에는 위와 같이 사용자를 인증하는 과정에서 버퍼오버플로우 취약점이 존재하며, 신속한 업그레이드가 필요하다.
가. 공격 화면
|
[alzza4 qpop_ex]# ./qpop_ex_al_c2c -1 alzza4.test.com +OK QPOP (version 2.41beta1) at alzza4.test.com starting. -ERR Too many arguments supplied. whoami root
|
나. TCPDUMP 모니터링 화면
|
[alzza4 qpop_ex]# tcpdump -i eth0 tcpdump: listening on eth0 17:19:01.775239 alzza4.test.com.1050 > iris.test.com.pop3: S 2380496759:23804967 59(0) win 512 <mss 1460> 17:19:01.775239 iris.test.com.pop3 > alzza4.test.com.1050: S 381760000:381760000 (0) ack 2380496760 win 61320 <mss 1460> (DF) 17:19:01.775239 alzza4.test.com.1050 > iris.test.com.pop3: . ack 1 win 31744 17:19:01.775239 alzza4.test.com.1051 > ns.test.com.domain: 56526+ (45) 17:19:01.775239 ns.test.com.domain > alzza4.test.com.1051: 56526* 1/1/0 (113) 17:19:01.805239 iris.test.com.1087 > ns.test.com.domain: 59380+ (45) 17:19:01.805239 ns.test.com.domain > iris.test.com.1087: 59380* 1/1/0 (115) 17:19:01.805239 iris.test.com.pop3 > alzza4.test.com.1050: P 1:60(59) ack 1 win 61320 (DF) 17:19:01.805239 alzza4.test.com.1050 > iris.test.com.pop3: P 1:1153(1152) ack 60 win 31744 (DF) 17:19:01.855239 iris.test.com.pop3 > alzza4.test.com.1050: F 60:60(0) ack 1153 w in 61320 (DF) 17:19:01.855239 alzza4.test.com.1050 > iris.test.com.pop3: . ack 61 win 31744 17:19:01.855239 alzza4.test.com.1050 > iris.test.com.pop3: F 1153:1153(0) ack 61 win 31744 17:19:01.855239 iris.test.com.pop3 > alzza4.test.com.1050: . ack 1154 win 61320 (DF)
|
3. 대책
다음과 같이 현재 사용하고 있는 POP 서버의 버전을 확인하여 최신버전으로 업그레이드한다.
|
[alzza4 ipop]# telnet localhost 110 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. +OK QPOP (version 2.41beta1) at alzza4.test.com starting.
|
다음의 주소에서 최신버전을 가져다 설치한다.
ftp://ftp.qualcomm.com/Eudora/servers/unix/popper
위의 방법과 함께 라우터와 시스템 레벨에서 TCPWRAPPER와 같은 프로그램을 사용하여 접근제어를 적용하여 외부 네트워크에서 POP 서버에 접근하는 것을 막는다.
관련자료
-
이전
-
다음
