리눅스 커널 취약점 안내

1. 대상 고객: 서버호스팅/코로케이션 리눅스 OS 사용 고객

2. 개요
2009.8.13 대부분의 리눅스 커널 버젼에서 로컬 권한 상승 취약점이 발견되었습니다.

3. 설명
이번 취약점은 proto_ops 구조체의 초기화가 제대로 되지 않은 상태에서 sock_sendpage() 함수에서 널 포인터를 참조하기 때문에 발생하였습니다.
이로 인해 영향 받는 시스템 상에서 공격자는 슈퍼 유저 권한을 획득하여 임의의 코드를 실행하거나 서비스를 불능 상태로 만들 수 있습니다.

4. 영향 받는 커널 버젼
Linux 2.4: 2.4.4 ~ 2.4.37.4
Linux 2.6: 2.6.0 ~ 2.6.30.4

5. 해결 방안
최신 Linux 커널(Linux 2.6.31-rc6과 Linux 2.4.37.5 이상)로 업데이트 및 커널 패키지를 설치하거나 당장 업데이트가 어려울 경우 아래와 같이 임시 조치를 합니다.

임시 조치 방법 1) sysctl -w vm.mmap_min_addr=4096
임시 조치 방법 2) /etc/modprobe.conf(or modules.conf) 에 다음을 설정하여 ipx, pppox 등의 기타 네트워크 관련 커널 모듈을 못 올리게 한다.

install bluez /bin/true
install pppox /bin/true
install bluetooth /bin/true
install pppox /bin/true
install bluetooth /bin/true
install appletalk /bin/true
install ipx /bin/true
install sctp /bin/true

6. 배포판별 업데이트
- CentOS 5.x/Fedora Core 6(RHEL 5.x에 대응)
rpm 다운로드 주소
x86: ftp://ftp.daum.net/centos/5.3/updates/i386/RPMS/kernel-PAE-2.6.18-128.7.1.el5.i686.rpm
x86_64: ftp://ftp.daum.net/centos/5.3/updates/x86_64/RPMS/kernel-2.6.18-128.7.1.el5.x86_64.rpm

- CentOS 4.x(RHEL 4.x에 대응)
rpm 다운로드 주소
x86: ftp://ftp.daum.net/centos/4.8/updates/x86_64/RPMS/kernel-2.6.9-89.0.9.EL.x86_64.rpm
x86_64: ftp://ftp.daum.net/centos/4.8/updates/i386/RPMS/kernel-2.6.9-89.0.9.EL.i686.rpm

소스 다운로드
http://kernel.org/pub/linux/kernel/v2.6/testing/patch-2.6.31-rc7.bz2
http://kernel.org/pub/linux/kernel/v2.4/linux-2.4.37.5.tar.bz2

7. 참고 사이트
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2692
http://www.securityfocus.com/bid/36038/info
http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html
http://archives.neohapsis.com/archives/fulldisclosure/2009-08/0174.html
http://kbase.redhat.com/faq/docs/DOC-18065
http://www.ubuntu.com/usn/usn-819-1
http://archives.neohapsis.com/archives/fulldisclosure/2009-08/0174.html
https://rhn.redhat.com/errata/RHSA-2009-1222.html
https://rhn.redhat.com/errata/RHSA-2009-1223.html

8. 직접 업데이트가 어려운 경우 부가 서비스 -> 서버관리 도우미 -> 보안 업데이트 설치 서비스를 받으시기 바랍니다.
(단, 매니지드 서비스 이용 고객을 제외됩니다.)