certcc에서 보안 권고문이 날라 왔는데.. 7월 30~31일날 openssh 3.4p1을 받아서 설치한 분들은 꼭 참조하세요.. 트로이 목마가 설치 되어 잇다고 하네요.. 한 한달 사이에 openssh에 보안 문제가 제기 되네요..떱..
가능하면.. ssh2를 설치해 보세요..(개인적으로는 이것은 좋아해 설치해 사용하고 있습니다..) 그럼 좋은 하루 보내세요..
################################################################## 안녕하세요. 한국정보보호진흥원의 강준구입니다. 급히 주의를 요구하는 사안이므로 모든 OpenSSH 사용자분들은 이 권고문을 읽어 주실 것을 강력히 권고합니다.
====================== KA-2002-76: Trojan Horse OpenSSH Distribution ----------------------
최초작성일 : 2002-08-03 갱 신 일 : 출 처 : CERT/CC 작 성 자 : 강준구(jgkang@certcc.or.kr)
-- 제목 -------------- 트로이목마를 내포한 OpenSSH패키지 배포
-- 해당 시스템 -------- OpenSSH를 탑재하려는 모든 시스템
--영향----------------- OpenSSH내의 트로이목마가 내포된 버전을 다운로드받아 컴파일하게 된다면 공격자는 원격으로 그 호스트에 대한 비인가 허가권한을 획득할 수 있다. 접근 수준은 트로이목마를 컴파일한 사용자의 접근수준으로 되므로 만약 운영자 권한일 경우 모든 시스템을 장악할 수 도 있다.
-- 설명--------------- 아래와 같은 파일에 악성코드가 포함되어져 있다. openssh-3.4p1.tar.gz openssh-3.4.tgz openssh-3.2.2p1.tar.gz
ftp.openssh.com와 ftp.openbsd.org 사이트들은 2002년 7월 30일 또는 31일에 발견된 악성코드 내포된 호스트들이다. 8월 1일 13:00 이후로 정상파일로 대체되어 별 문제가 없으나 7월 30일 또는 31일에 다운로드하고 컴파일한 사람들은 모두 트로이목마가 설치되어 있다. 또한 이 사이트를 Mirroring 한 사이트들 또한 감염되어져 있다.
OpenSSH에 내포된 트로이목마의 악성코드는 고정인 원격 서버의 6667/tcp로 연결한다. 그리고 트로이목마는 컴파일한 사용자의 권한의 쉘을 실행시키게 되는 것이다.
-- 해결책--------------- OpenSSH를 어디에서 다운받았는지 상관없이 배포를 하는데 있어서 검토 및 배포 허가작업을 할 수 있도록 해야한다. Timestamp와 파일 사이즈로서 트로이목마가 자신의 시스템에 내포되어져 있는지 아닌지 가늠하기 힘들므로 해킹 된 사이트에서 다운을 받은 모든 프로그램을 검사할 것을 권고한다. OpenSSH를 다운로드 할 수 있는 주요 사이트: http://www.openssh.com/
