본문 바로가기

Home > 열린마당 > 공지사항

공지사항

배시버그(Bash Bug) 및 대응 방안

OSS 게시글 작성 시각 2014-10-01 04:16:35 게시글 조회수 2120
배시버그(Bash Bug) 및 대응 방안
개요

■ 미국 CERT는 9월 25일(현지시간) 전 세계 기관·기업의 보안 전문가들을 대상으로 ‘배시 버그’(Bashbug) 또는 ‘셸쇼크’ (Shellshock)로 불리는 보안 결함에 대비하라고 강력히 경고함.

- 배시(Bourne Again Shell, Bash)는 유닉스·리눅스 계열에서 사용자 명령어를 분석하여 운영체제(OS)의 커널로 전달해주는 기본 쉘프로그램임

※ CERT(Computer Emergency Response Team): 컴퓨터 해킹사고가 빈발함에 따라 컴퓨터 통신망을 해커로부터 보호하기 위해 결성된 통신보안 전문가그룹이며, 한국에도 CERT 코리아가 있음

쉘 프로그램이란, 예를들면 예전 DOS에서 ① 사용자가 DIR을 입력하면 ② DOS의 쉘 프로그램은 DIR을 DOS 운영체제가 알수 있는 기계어로 분석하여 ③ DOS 운영체제로 전달하여, ④ 최종적으로는 화면에 파일 목록이 나오게 해주는 역할을 함

사용자
사용자는
DIR을 입력함
>
쉘 프로그램
입력된 DIR을 기계어로 번역 하고, 운영체제 커널로 전달함
>
운영체제 커널
전달된 기계어를 바탕으로 파일을 검색하고 화면에 전송함
>
모니터(화면)
화면에 파일 목록이 출력됨

배시버그 현황 및 확인방법

■ 배시 4.3버전에서 발견된 이 버그는 해커가 원격에서 접속, 시스템에 명령어를 날려 변화를 가할 수 있도록 하며, 서버에 대한 접근제어나 원격으로 악성코드가 동작되게 할 수 있음

■ 리눅스 컴퓨터를 부팅 하고, bash 쉘 프로그램에서 버전을 확인함

- ① 현재의 bash 버전을 확인함(rpm -qa | grep bash). 아래의 예처럼 bash 버전이 4.3 이하, 즉 현재 4.1.2 이므로 보안 업데이트가 필요한 상태임을 확인함

# rpm -qa | grep bash 
    bash-4.1.2-9.el6_2.x86_64

- ② 쉘 프로그램 취약점을 확인하는 명령어(env x='() { :;}; echo vulnerable' bash -c 'echo this is a test' )를 입력 하였을 경우, "vulnerable" 문구가 나오면 보안 위험 상태임

# env x='() { :;}; echo vulnerable' bash -c 'echo this is a test'     
vulnerable   
this is a test


대응 방안

(패치 적용) 현재 대상 운영제체의 패치가 각 배포판 패치서버에 모두 업데이트 되었으며, KISA에서 각 기관에 적극적으로 알리고 있음
  (예) KISA에서는 9월 26일 오후, NIPA 정보서비스팀에 패치 업데이트 요청함

- Debian: 
      https://www.debian.org/security/2014/dsa-3035
- Ubuntu/Mint: 
      http://www.ubuntu.com/usn/usn-2363-1/
      http://www.ubuntu.com/usn/usn-2363-2/
- Redhat: 
      https://rhn.redhat.com/errata/RHSA-2014-1306.html
- CentOS: 
      http://lists.centos.org/pipermail/centos/2014-September/146154.html

(홍보) 미래창조과학부, KISA, NIPA 등의 기관 홈페이지등을 통하여 배시버그(Bash Bug) 및 대응방안을 지속적으로 게시함

- 특히, KISA에서는 배시버그 확인 및 패치를 구할수 있는방법 ·패치 적용절차등에 대한 TF 운영 필요

(지원과제에 대한 권고 및 확인) NIPA, KISA 등에서 지원하는 지원사업 수행 기관에 안내하여 개발 시 해당 취약점에 대비하여 개발 할 것을 권고 및 중간점검 시 확인

- 대상과제: 공개SW개발지원사업 등


공지사항 - 번호, 제목, 작성자, 조회수, 작성
번호 제목 작성자 조회수 작성
공지 [기타]2024년 디지털인프라(SW) 진단 및 개선 사업 수요기업(기관) 모집 공고 포털관리자 868 2024-03-11
공지 [컨트리뷰톤]2024 오픈소스 컨트리뷰션 아카데미 [체험형] 멘티 모집(~3/26) file 통합지원센터 관리자 2853 2024-03-06
공지 [개발자]2024 Open UP 오픈 프런티어(기여형) 모집 공고(~3/24) file 통합지원센터 관리자 8293 2024-02-16
공지 [컨트리뷰톤]2024 Open UP 오픈 프런티어(멘토형) 모집 공고(~3/24) file 통합지원센터 관리자 11713 2024-02-16
공지 [라이선스검증]「오픈소스SW 라이선스/보안취약점 검증 안내」 file License 관리자 5574 2023-10-06
145 배시버그(Bash Bug) 및 대응 방안 OSS 2120 2014-10-01
144 [기증 도서 증정] 기북 마흔한번째 당첨자 발표 OSS 1172 2014-10-01
143 2014년 공개SW 라이선스 토론회를 위한 사전 질의 이벤트 1 OSS 1479 2014-09-30
142 [기증 도서 증정] 기북 마흔번째 당첨자 발표 OSS 1350 2014-09-23
141 2014년 공개SW 개발자대회 공헌상 공고 file OSS 1195 2014-09-22
140 [기증 도서 증정] 기북 서른아홉번째 당첨자 발표 OSS 1271 2014-09-17
139 [기증 도서 증정] 기북 서른여덟번째 당첨자 발표 OSS 1316 2014-09-03
138 [기증 도서 증정] 기북 서른일곱번째 당첨자 발표 OSS 1199 2014-08-26
137 [기증 도서 증정] 기북 서른여섯번째 당첨자 발표 OSS 1214 2014-08-20
136 [기증 도서 증정] 기북 서른다섯번째 당첨자 발표 OSS 1346 2014-08-13
맨 위로
맨 위로