좋은진호의 여유만만

로컬에서 root ID를 얻을 수 있는 커널 취약점이 발견되었다. 해당 커널 버전은 2.6.37~3.8.9 이다.
그러나 CentOS 6.x(또는 RHEL)의 커널 2.6.32버전은 2.6.27에서 백포팅된 것이 있는데 해당 취약점까지 백포팅된 것으로 알려졌다.

CentOS 6.x버전을 사용중이면 커널 업데이트(지난주에 커널패치가 나옴)를 반드시 해야한다.

* CentOS 6.x에서 취약점없는 버전 : 2.6.32-358.6.2.el6.x86_64 <-- 패치 번호 -358.6.2가 문제 없음.

* Linux PERF_EVENTS Local Root

http://packetstormsecurity.com/files/121616/semtex.c
http://downloads.securityfocus.com/vulnerabilities/exploits/59846.c

커널 취약점 테스트 결과다. gcc 컴파일할 때 반드시 -O2 optimize 옵션을 넣고 테스트해야 한다.

[ 커널 패치 전 ]

[ 커널 패치 후 ( yum update kernel* 명령 후 ) ]

※ expolit 소스를 링크하고 싶지 않았다. 하지만 이미 공개가 많이 되었고, SE가 직접 취약성을 테스트하도록 링크를 걸었다.

Dell R620, R720 장비(Dell Rx20시리즈)가 작년 6월 정도에 출시되었다. 그런데 이 최신 장비에 작년말까지 FreeBSD를 사용할 수가 없었다. 크게 2가지 문제가 있었다.

• RAID카드(MegaRAID) 인식 문제
• NIC 인식 문제 (Broadcom의 BCM5720C 칩셋)
  

당시에 RAID카드 인식이 안되어서 설치 자체를 할 수가 없었다. 7월쯤에 SVN으로 RAID카드 관련 최신 커널 소스를 받아 패치하면 인식되어 설치는 문제없었다. 그러나 NIC인식은 여전히 문제였다.

작년 11월말에 해당문제를 해결한 bge 커널 소스가 올라왔다. (국내 yongari님이 commit한 소스임)

http://svnweb.freebsd.org/base/stable/9/sys/dev/bge/if_bge.c?view=log

이 bge 소스는 12월 릴리즈된 FreeBSD 9.1에 포함되지 않았다. NIC인식을 위해서 별도의 수고가 필요하다.
http://svnweb.freebsd.org/base/stable/9/sys/dev/bge/ 에서 if_bge.c과 if_bgereg.h 를
http://svnweb.freebsd.org/base/stable/9/sys/dev/pci/ 에서 pcireg.h 를 받아서
각각 /usr/src/sys/dev/bge/ 와 /usr/src/sys/dev/pci/ 에 복사한다.
그리고 커널 컴파일(/usr/src/에서 make -j8 kernel)하고 리부팅하면 NIC 인식에 문제가 없다.
FreeBSD 8.x 또한 SVN에 해결된 소스가 있으니 최신 SVN 소스를 받은 후 컴파일하면 인식될 것이다. (해보지는 않음)


FreeBSD 9.1 최신 SVN버전의 CD 만드는 방법은 '나만의 FreeBSD ISO 이미지 만들기'에 자세히 적어뒀다.

1. seq 명령

GNU의 coreutils패키지에는 seq명령(리눅스에 기본 설치, FreeBSD는 /usr/ports/sysutils/coreutils 포트를 설치하면 gseq명령으로 설치됨)이 있다. seq는 숫자를 순차적으로 출력해주는 명령이다. 예를 들어 1부터 5까지, 또는 1부터 10까지 2씩 증가하여 출력하고 싶다면 seq사용하면 된다.

bash 쉘스크립트의 for문에서 seq명령을 사용한 예이다. 1부터 31까지 순차적으로 출력된다.

2. bash에서 순차적 숫자(sequential numbers)

bash 3.0이상 부터는 loop에 순차적 숫자를 사용할 수 있다. 아래는 seq를 썼을 때와 같은 결과가 나온다.

bash 4.0이상 부터는 증가치(increment)를 지정할 수 있다.

3. seq명령과 bash 순차적 표현의 각각의 장점

* seq 명령을 사용할 때 장점

1) 실수형으로 증가할 수 있다.

2) 구분문자를 지정할 수 있다. 기본은 줄바꿈

* bash에서 순차적 숫자를 쓸 때 장점

1) {01..10} 처럼 지정하면 01 02 03 처럼 앞에 0을 붙여준다. 0001처럼 지정할 수도 있다. (bash 4.0 부터)

2) 문자도 순차적으로 출력할 수 있다. {a..z} 나 {A..Z} 처럼

SSD 스토리지의 필요성은 느끼는데, 아직은 보편화하기에는 가격이 부담스럽다. 하지만 점점 기대된다.
초고성능과 적당한 수준의 용량이 필요하다면 'PCIe'기반의 메모리 스토리지(대표적인게 스티브워즈니악이 CSO로 있는 Fusion-io)가 최적의 조건일 것이고,
고성능과 고용량이 필요하다면 'SSD스토리지'가 최적의 선택일 것 같다.

[ SSD Impact 2012 세미나 ]

5월 4일 금요일에 있었던 'SSD Impact 2012' 세미나에 참석했다. 여러 개의 부스가 마련되어 있는데, 그중에서 SSD기반의 scale-out NAS 제품을 개발 판매하는 블랙아이옵스(BlackIOPS)를 찾았다.

[ 블랙아이옵스 부스 ]

블랙아이옵스( http://blackiops.com/ )는 올해 처음 들어봤고, 스토리지는 이 날 처음봤다. 이제 막 국내에 런칭되었기 때문에.
블랙아이옵스의 엔지니어(총판 글로벌텔레콤 엔지니어)에게 몇가지 궁금한 사항을 물어보고 간단히 정리했다.

< 기본 >

• 어플라이언스 장비로 별도의 NFS서버나 CIFS서버 없이 네트웍 스위치나 SAN스위치에 연결해서 사용한다.
• NFS, CIFS등 지원
• 리눅스 기반의 다큐OS(DarqOS) 사용. 쉘을 직접 한번 볼 수 있었으면 좋겠다. ^^
• 24bay 모델은 최초 node 2개부터 초기 구성 가능, 48bay 모델(DM800, DM900모델)은 node 1개만으로 초기 구성 가능
• HDD + SSD Hybrid 형태는 지원하지 않는다.
  SSD 전용 스토리지. OS는 SSD에 최적화되어 있다.
  앞으로 SSD스토리지 시대가 될 것으로 보고 SSD 전용 스토리지를 출시.
• SSD는 MLC(Multi Level Cell)방식, SATA3 인터페이스(6Gb/s)
• 단일볼륨으로 1PB이상 구성 가능
• 데이터중복제거, 암호화, 압축 지원(DM500, DM600, DM800, DM900모델중 DM600과 DM900이 지원)
  

[ 블랙아이옵스 스토리지. 위 2개는 24bay 모델, 맨아래 1개는 48bay 모델 ]

< 운영 >

• GUI환경 (세미나장에서는 GUI를 볼 수 없었다.)
• I/O 모니터링 : GUI에서 실시간 모니터링 가능. 인터페이스별로도 실시간 모니터링 가능
• SNMP 지원
  

< 인터페이스 구성 >

• FC와 이더넷 인터페이스를 '동시'에 사용할 수 있다. 단, 각 인터페이스별로 다른 볼륨을 보게 된다. 동일 볼륨을 보는 것을 권하지 않음.

• 이더넷 1G 2port를 기본으로, FC 등의 인터페이스 확장해서 사용
• 8Gb FC포트 X 4개. FC포트 추가 가능(슬롯에 꽂아서 추가하는 방식)
  

24bay모델은 1개 여분 슬롯 제공, 48bay모델은 2개 여분.
지원 인터페이스는 10G, FC, iSCSI, infiniBand, FCoE

[ 블랙아이옵스 스토리지 후면부. 위는 24Bay, 아래는 48Bay 모델 ]

일반 서버처럼 생겨서, 외관은 다소 실망스러웠다. 인터페이스는 슬롯에 꽂아서 추가한다.

[ 8G FC x 4포트 ]

< RAID 및 disk 구성 >

일반 스토리지의 RAID개념과는 다른 구성이다.

1) 1개 node가 하나의 물리적 볼륨
2) 2개 node일 경우 node끼리 미러링 개념
3) 3개 node일 때, 1개 node의 disk 장애시 다른 1개 node로 미러링되어 문제없음. 1개 node에 disk 여러개가 장애나도 서비스 문제없음
4) 3개 node일 때, 2개 node에 1개씩 disk가 장애시 데이터 손실 발생 가능
5) Hot spare disk별도로 필요없음

일반적인 스토리지는 RAID로 볼륨을 만들지만, 블랙아이옵스는 별도의 Hot spare와 RAID없이 구성하여 1개 노드가 1개의 디스크처럼 동작한다. 따라서 3개 노드를 구성한다면 각 1개 노드가 디스크 1개처럼 작동하므로, 디스크 3개를 묶은 RAID5개념으로 이해하면 쉬울 것이다.

Hash table 충돌을 이용한 DoS 공격(일명 HashDoS)을 해결한 PHP 5.3.9버전이 나왔습니다.

• php 5.3.8 포함하여 이전 버전 사용중 : 필히 업그레이드 할 것
• php 5.3.9 RC 또는 5.4.0 RC4~RC5 사용중 : 임시 업그레이드하셨던 분은 필요하면 정식 버전을 적용해도 되겠네요.

참고로 php.ini의 max_input_vars default값은 1000입니다.

http://www.php.net/index.php#id2012-01-11-1



※ 2012.2.2에 php 5.3.10버전이 나왔습니다. HashDoS를 패치한 5.3.9버전에 원격에서 코드를 실행할 수 있는 취약점이 있습니다. 자세한 것은 'php 5.3.10으로 업그레이드하세요."를 읽어보세요.

* HashDoS 관련 글

- 2012/01/04 - [시스템이야기] - php에서 hash table DoS(HashDoS) 공격 방어
- 2012/01/02 - [시스템이야기] - 웹서버 hash table DoS(HashDoS) 공격 (중요. PHP, ASP 등 해당)

HashDoS 공격에 대해서는 '웹서버 hash table DoS(HashDoS) 공격 (중요. PHP, ASP 등 해당)'  을 읽어보기 바란다.


취약점을 해결하거나 공격을 약화시키는 방법이다.

1. php 5.4.0 RC버전과 앞으로 나올 PHP 5.3.9 버전 (취약점 해결)

max_input_vars 설정으로 파라미터 개수를 제한한다.

2. 기존 php버전에서 (완벽한 해결이 아닌 공격을 약화시키는 방법)

php.ini 설정값 (default)

max_input_time은 요청 데이터를 파싱하는데 걸리는 최대 시간이다.
max_input_time으로 파싱 시간 제한, post_max_size으로 POST 사이즈를 제한함으로써 파라미터수를 어느정도(?) 제한하는 효과를 갖는다. 완벽한 해결이 아닌 공격을 약화시키는 방법이다.

기존에 쌓아둔 웹로그를 분석해서

1. 스크립트의 실행 시간이 얼마나 걸리는지 (max_input_time 설정위해. 웹로그 시간은 정확히는 전송시간 + max_input_time + max_execution_time과 관련)
2. POST 요청의 사이즈를 분석한다. (post_max_size 설정위해)
   

수치를 적절히 파악한 후 서비스에 지장없는 정도로 조절한다.
(예 : max_input_time = 10, post_max_size = 100K)
단, 파일이 업로드되는 서비스는 POST사이즈가 크므로 post_max_size는 적용하기 어렵고, max_input_time만 설정해볼 수 있다.

3. 수호신(suhosin) php 보안 모듈 사용 (취약점 해결)


수호신 모듈을 사용하면 위 설정만으로도 문제가 해결된다. 최대 파라미터 개수를 500개로 제한한 경우이다. default는 1000이다. 다음과 같이 차단되었음을 확인할 수 있다.


4. apache와 nginx에서 POST사이즈 제한 (100K로 제한하는 예)

POST사이즈 제한을 php설정 외에 웹서버 자체 설정도 적용하고 싶다면 다음과 같이 한다. 위 2번에서 설명한대로 기존 웹로그를 분석해서 적절한 POST사이즈를 파악해서 적용한다.

1) apache
   LimitRequestBody 100000

2) nginx (defaul는 1MB)
   client_max_body_size 100k;


※ 다음은 php.ini의 max_input_time 설정을 착각하는 분들이 있어 정리했다. (1.4(수) 19시)

위에서 말한대로, php.ini 설정 중 max_input_time은 HTTP '요청 데이터(POST, GET)를 파싱하는데 걸리는 시간'이다. 'input' 이라는 단어가 들어가기 때문에, 전송되는 시간으로 착각하는 경우가 있다. 하지만 모든데이터를 다 받은 순간부터 실행 시작하기까지의 시간이다. 아래에서 3번에 해당하는 구간이다.


정상적인 요청이라면 파싱하는데 걸리는 시간은 짧다. 그래서 이 수치를 줄임으로써 어느정도의 효과가 있다.

먼저 공격 동영상 한편을 보자.

Denial of Service using Hash tables collisions in PHP


hash table collisions버그를 이용해서 PHP로 DoS공격을 하는 예이다. 동영상에서는 약 190초 동안이나 CPU load가 15%정도 올라갔다. H/W사양이나 요청하는 POST값은 다양하니 수치의 의미보다는 load 상승의 심각성을 중요포인트로 생각해야 한다. 이런 비정상 요청 몇개만으로 서비스는 제대로 이뤄지지 않을 수 있다. '단 몇개만'으로.

웹서버에서는 Request POST, GET 변수를 hash 구조로 관리한다. 그런데 POST 요청 파라미터수가 상당히 많을 경우(GET 요청은 길이 제한이 있으므로 문제가 되지 않음)에 hash 충돌이 많이 발생하게 되어 CPU load가 상당히 올라가게 된다. 이런 문제는 PHP5, Asp.Net, Java, V8 자바스크립트 엔진 등에서 발생한다.

PHP의 경우 5.4.0 RC버전과 앞으로 나올 PHP 5.3.9 버전에서 max_input_vars 설정으로 파라미터 개수를 제한할 수 있다.

현재 @hashDoS 트위터( http://twitter.com/hashDoS )에서 이번 취약점에 대한 논의가 있으니 참고하기 바란다.

* php에서 hash table DoS(HashDoS) 공격 방어 (정리해서 올렸습니다. 1.4(수) 오전)
* hashDoS 취약점 관련 글

• [SECURITY] Apache Tomcat and the hashtable collision DoS vulnerability
• Denial of Service through hash table multi-collisions http://www.nruns.com/_downloads/advisory28122011.pdf
• Hash collisions vulnerability in web servers
• PHP Hash Table Collision Bug Lets Remote Users Deny Service

지난주 '아파치 웹서버를 한방에 다운시키는 Range요청 취약점'이 발표되었다.

국내에서는 이 DoS 취약점에 대해 너무나 조용하지만, 한방에 서버를 다운시킬 수 있는 심각한 문제이다. 아파치 웹서버(Apache)에 정상적이지 않은 형태로 Range 헤더를 요청하면, 웹서버의 load는 단 몇초만에 급상승하여 서버는 응답을 처리할 수가 없다.

아파치 1.3, 2.0, 2.2버전대 모두 DoS 취약점이 존재한다. 오늘 DoS 취약점을 패치한 2.2.20 버전을 발표했다.


예전 1.3.x버전 운영중인 분들은 더 이상 지원하지 않는 버전대를 버리고 2.2.x대로 갈아타시기 권장한다. 2.0.x버전대는 조만간 발표될 것이다.
2.2.20 테스트 결과, 해당 취약점이 패치된 것을 확인했다.

• Release 정보 : http://www.apache.org/dist/httpd/Announcement2.2.html
• 다운받기 : http://ftp.daum.net/apache/httpd/