시스템이야기2014. 4. 9. 15:19

OpenSSL 1.0.1버전에 TLS heartbeat 취약점(일명 Heartbleed Bug라고 부름. CVE-2014-0160, openssl: information disclosure in handling of TLS heartbeat extension packets)이 있습니다. 

공격자가 https서버의 메모리 64KB 데이터를 볼 수 있습니다. 메모리에는 https서버와 유저간에 주고 받은 데이터들(ID/PW, ... 등의 정보)이 있는데, 공격자는 plain text형태로 볼 수 있습니다. 그리고,SSL 개인키를 얻을 수 있습니다. 반드시 업데이트하세요.


http://a4.aurynj.net/post/82075898166/heartbleed (Heartbleed 이슈에 관해 정리)

http://yisangwook.tumblr.com/post/82056087918/openssl-heartbeat-heartbleed (OpenSSL 취약점 발견. Heartbleed)

http://heartbleed.com/


1. 취약한 버전


OpenSSL 1.0.0과 0.9.8 버전은 취약하지 않으며,

1.0.1은 1.0.1f까지 취약합니다. 1.0.1g에서 패치되었구요.


http://www.openssl.org/news/secadv_20140407.txt



2. RHEL, CentOS


# yum update openssl*

... 생략 ...

=====================================================================

 Package              Arch      Version               Repository        Size

=====================================================================

Updating:

 openssl              x86_64    1.0.1e-16.el6_5.7     updates          1.5 M

 openssl-devel        x86_64    1.0.1e-16.el6_5.7     updates          1.2 M



3. FreeBSD


# freebsd-update fetch

# freebsd-update install

# ls -la /usr/lib*/libssl*

-r--r--r--  1 root  wheel  685846 Apr  9 12:28 /usr/lib/libssl.a

lrwxr-xr-x  1 root  wheel      11 Feb 25 09:24 /usr/lib/libssl.so -> libssl.so.7

-r--r--r--  1 root  wheel  430352 Apr  9 12:28 /usr/lib/libssl.so.7

-r--r--r--  1 root  wheel  713782 Apr  9 12:28 /usr/lib/libssl_p.a

-r--r--r--  1 root  wheel  470850 Apr  9 12:28 /usr/lib32/libssl.a

lrwxr-xr-x  1 root  wheel      11 Feb 25 09:26 /usr/lib32/libssl.so -> libssl.so.7

-r--r--r--  1 root  wheel  363552 Apr  9 12:28 /usr/lib32/libssl.so.7

-r--r--r--  1 root  wheel  480306 Apr  9 12:28 /usr/lib32/libssl_p.a


업데이트 후 openssl사용하는 데몬은 재실행해주세요.



Posted by 좋은진호
시스템이야기2013. 5. 20. 18:56

로컬에서 root ID를 얻을 수 있는 커널 취약점이 발견되었다. 해당 커널 버전은 2.6.37~3.8.9 이다.
그러나 CentOS 6.x(또는 RHEL)의 커널 2.6.32버전은 2.6.27에서 백포팅된 것이 있는데 해당 취약점까지 백포팅된 것으로 알려졌다.



CentOS 6.x버전을 사용중이면 커널 업데이트(지난주에 커널패치가 나옴)를 반드시 해야한다.

* CentOS 6.x에서 취약점없는 버전 : 2.6.32-358.6.2.el6.x86_64 <-- 패치 번호 -358.6.2가 문제 없음.

* Linux PERF_EVENTS Local Root

http://packetstormsecurity.com/files/121616/semtex.c
http://downloads.securityfocus.com/vulnerabilities/exploits/59846.c

커널 취약점 테스트 결과다. gcc 컴파일할 때 반드시 -O2 optimize 옵션을 넣고 테스트해야 한다.

[ 커널 패치 전 ]

$ gcc semtex.c
$ ./a.out
2.6.37-3.x x86_64
sd _at_ fucksheep.org 2010
a.out: semtex.c:81: main: Assertion `p = memmem(code, 1024, &needle, 8 )' failed.
중지됨
$ gcc -O2 semtex.c  <-- -O2 옵션 넣고 컴파일
$ ./a.out
2.6.37-3.x x86_64
sd _at_ fucksheep.org 2010
-sh-4.1# id
uid=0(root) gid=0(root) groups=0(root),501(true)  <-- root권한 획득
-sh-4.1# exit
logout


[ 커널 패치 후 ( yum update kernel* 명령 후 ) ]

$ uname -r
2.6.32-358.6.2.el6.x86_64
$ ./a.out
a.out: a.c:51: sheep: Assertion `!close(fd)' failed.
중지됨
$

※ expolit 소스를 링크하고 싶지 않았다. 하지만 이미 공개가 많이 되었고, SE가 직접 취약성을 테스트하도록 링크를 걸었다.

Posted by 좋은진호
시스템이야기2007. 4. 22. 16:53
The Perfect Setup - CentOS 5.0 (32-bit)
http://www.howtoforge.com/perfect_setup_centos5.0

사용자 삽입 이미지
[ 이미지 출처 : 위 URL ]

원 제목은 CentOS 5.0 설치인데, OS 인스톨과정 정도만 CentOS 5.0 화면입니다.
나머지 부분은 웹, DB 등의 보편적인 서버 구축 환경을 만드는 과정을 써 놓은 거네요.

    * Web Server: Apache 2.2 with PHP 5.1.6
    * Database Server: MySQL 5.0
    * Mail Server: Postfix
    * DNS Server: BIND9 (chrooted)
    * FTP Server: Proftpd
    * POP3/IMAP server: Dovecot
    * Webalizer for web site statistics

- IP설정과 IP alias 설정
- quota설정
- Postfix메일서버와 Dovecot POP3서버에 대한 설정
- 그리고 vsftpd 대신에 proftpd를 설치하는 방법(개인적으로는 vsftpd를 선호) 등을 설명하고 있습니다.

서버를 잘 다루시는 분이 쓰~윽 살펴보면 아~ 내용없구나 할 겁니다.
대신 처음 운영하는 분에게는 길잡이가 되겠네요.

Posted by 좋은진호
시스템이야기2007. 3. 16. 12:49
사용자 삽입 이미지
레드햇 RHEL5가 예상보다는 2주정도 늦게 15일(어제) 출시되었습니다.
CentOS 는 beta2(RHEL 4.92) 버전까지만 나온 상태입니다.
http://lists.centos.org/pipermail/centos-announce/2007-March/013617.html
hanirc의 #coffeenix방의 티니님이 CentOS 4.92테스트를 해보셨는데, 4버전에 비해 가벼워졌다고 합니다. 제가 제일 기대하는 건 Xen 입니다.

http://www.redhat.com/rhel/
http://www.redhat.com/rhel/features/

Kernel and Performance
    * Based on the Linux 2.6.18 kernel
    * Support for multi-core processors
    * Broad range of new hardware support
    * Updated crash dump capability provided by Kexec/Kdump
    * Support for Intel Network Accelerator Technology (IOAT)
    * Numerous enhancements for large SMP systems
    * Enhanced pipe buffering
    * IPv4/IPv6 fragmentation offload and buffer management
    * Dynamically switchable per-queue I/O schedulers
    * Kernel buffer splice capability for improved I/O buffer operations

관련기사 : 머니투데이, http://news.empas.com/show.tsp/cp_mt/20070315n10898/

오픈 소스 및 리눅스 제공기업인 레드햇은 15일 아태지역 본부가 있는 싱가포르에서 기자회견을 열고 새로운 기업용 버전인 ‘레드햇 엔터프라이즈 리눅스 5(RHEL5)’를 공식 출시했다.

‘레드햇 엔터프라이즈 리눅스 5(RHEL5)’는 최첨단 오픈소스 기술로 2년간 개발돼왔고 지난해 베타2 버전을 공개한 바 있다.

Posted by 좋은진호