<?xml version='1.0' encoding="UTF-8"?>
<?xml-stylesheet href="/xsl/guide.xsl" type="text/xsl"?>
<!DOCTYPE guide SYSTEM "/dtd/guide.dtd">
<guide type="newsletter">
<chapter>
<title>젠투 보안</title>
<section>
<title>요약</title>
<body>
<ul>
<li><uri link="#doc_chap2_sect2">GLSA: sendmail</uri></li>
<li><uri link="#doc_chap2_sect3">GLSA: krb5 and mit-krb5</uri></li>
<li><uri link="#doc_chap2_sect4">GLSA: openafs</uri></li>
<li><uri link="#doc_chap2_sect5">GLSA: dietlibc</uri></li>
<li><uri link="#doc_chap2_sect6">New Security Bug Reports</uri></li>
<li><uri link="#doc_chap2_sect7">gentoo-security</uri></li>
</ul>
</body>
</section>
<section>
<title>GLSA: sendmail</title>
<body>
<p>
sendmail MTA는 이메일 주소를 확인하는 방법에서 스택 오버플로 취약점이 있다.
이 취약점은 원격 DoS 공격을 수행할 수 있고 sendmail 서버를 제어권을 얻을 수 있고
또는 잠재적으로 서버 권한(주로 root)으로 임의의 코드를 실행할 수도 있다.
</p>
<ul>
<li>중요도: 위험 - 잠재적인 원격 root 위협</li>
<li>관련 패키지: net-mail/sendmail sendmail-8.12.9 이전 버전</li>
<li>해결방법: 동기화(emerge sync), emerge sendmail, emerge clean.</li>
<li><uri link="http://forums.gentoo.org/viewtopic.php?t=44892">GLSA Announcement</uri></li>
<li><uri link="http://www.cert.org/advisories/CA-2003-12.html">Advisory</uri></li>
</ul>
</body>
</section>
<section>
<title>GLSA: krb5와 mit-krb5</title>
<body>
<p>
Kerberos 인증 프로토콜의 krb5와 mit-krb5 실행에 여러가지 취약점이 발견되었다.
Kerberos 관리 대몬에 DoS 공격을 허용하는 버퍼 오버런(buffer overrun), 다른 것으로 위장하는 것을 허용하는
chosen-plaintext 공격, (다른 공격에서 사용될 수 있는) 특별한 이름과 호스트를 허용하는 버퍼 오버런과 언더런 문제를 포함한다.
</p>
<ul>
<li>중요도: 위험 - 인증 위험</li>
<li>관련 패키지: app-crypt/krb5 krb5-1.2.7-r2 이전 버전,
app-crypt/mit-krb5 mit-krb5-1.2.7 이전 버전</li>
<li>해결방법: 동기화(emerge sync), emerge krb5 와/또는 mit-krb5, emerge clean.</li>
<li><uri link="http://forums.gentoo.org/viewtopic.php?t=44893">GLSA Announcement</uri></li>
<li><uri link="http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-003-xdr.txt">Advisory</uri></li>
</ul>
</body>
</section>
<section>
<title>GLSA: openafs</title>
<body>
<p>
Kerbero 4의 암호 취약점은 영역에 있는 다른 것을 위장하는 chosen-plaintext 공격을 허용한다.
openafs 분산파일 시스템은 Kerberos 4를 사용하고 따라서 위장 공격에 취약하다.
</p>
<ul>
<li>중요도: 위험 - 인증 위험</li>
<li>관련 패키지: net-fs/openafs openafs-1.3.2-r1 이전 버전</li>
<li>해결방법: 동기화(emerge sync), emerge openafs, emerge clean.</li>
<li><uri link="http://forums.gentoo.org/viewtopic.php?t=44890">GLSA Announcement</uri></li>
<li><uri link="http://www.openafs.org/pages/security/OPENAFS-SA-2003-001.txt">Advisory</uri></li>
</ul>
</body>
</section>
<section>
<title>GLSA: dietlibc</title>
<body>
<p>
dietlibc의 xdrmem_getbytes()는 원격 공격자가 취약한 서비스에 악용할 수 있는 rpc 호출을 실행하는 데
사용할 수 있는 정수 오버플로우 취약점을 갖고 있다.
</p>
<ul>
<li>중요도: 높음 - 원격 서비스 사용</li>
<li>관련 패키지: dev-libs/dietlibc dietlibc-0.22-r1 이전 버전</li>
<li>해결방법: 동기화(emerge sync), emerge dietlibc, emerge clean.</li>
<li><uri link="http://forums.gentoo.org/viewtopic.php?t=44894">GLSA Announcement</uri></li>
<li><uri link="http://www.eeye.com/html/Research/Advisories/AD20030318.html">Advisory</uri></li>
</ul>
</body>
</section>
<section>
<title>새로운 보안 버그 보고서</title>
<body>
<p>
이번주에는 눈에 띄는 새로운 보안 버그가 없었다.
</p>
</body>
</section>
<section>
<title>gentoo-security</title>
<body>
<p>
Marcus Martin는, GLSA가 발표되었을 때 패키지를 자동으로 갱신하는 "emerge security" 기능에 대한
<uri link="http://marc.theaimsgroup.com/?l=gentoo-security&m=104920408624890&w=2">
아이디어</uri>를 제시했다.
꽤 많은 토론이 불러 일으켰고, 쉽게 구현할 수는 없지만 좋은 아이디어라는 동의가 있었다.
<uri link="http://bugs.gentoo.org/show_bug.cgi?id=5835">bug #5835</uri>에 문서로 작성되었다.
</p>
<p>
Chris Frey는, 젠투 사용자가 트로이목마가 있는 ebuild를 확인할 수 있도록 마스터 포티지 서버의 md4sum을 제공하는
스크립트를 <uri link="http://marc.theaimsgroup.com/?l=gentoo-security&m=104873935409280&w=2">올렸다</uri>.
서명된 ebuild를 기다리는 동안 임시 수단으로 제안되었다.
개발자 역량을 낭비할 뿐만 아니라 서버와 관리자에게 부담을 줄 수 있다는 비판이 제기되었다.
이 논쟁은 Nicholas Jones의 <uri link="http://marc.theaimsgroup.com/?l=gentoo-security&m=104879793011018&w=2">글</uri>로 결론을 맺었다. 그는 portage-2.0.47에서 해결될 것이기 때문에 이 방법은 비현실적이라고 지적했다.
</p>
</body>
</section>
</chapter>
</guide>
last modified 2003-04-08 19:35:25
Processing time 0.0250 sec