IIS 5.0 버그

(쓴 날: 2001-05-17)

 

이번엔 심각한 버그 두 개가 발견됐답니다.
꼭 읽어보시고... 웹서버를 관리하고 있는 사이트에서는 패치를 적용하셔야 할 듯 보이네요. ^^;



1. IIS 버그 패치 (2001-05-01)

Windows 2000에서 IIS 5.0이 동작하는 경우, 인터넷을 통한 프린터 상황정보를 체크할 수 있는 msw3prt.dll 파일에서 버퍼 오버플로우가 발견되었습니다. 이 파일에서 나타난 버그는 시스템을 직접 손상시킬 수 있으며, 원격에서 외부 침입자가 임의의 코드를 삽입하여 시스템을 제어할 수 있는 것으로 알려졌습니다.

사용자그룹에서는 이 문제를 해결한 패치를 사이트에서 제공합니다. 그러나, 실제 운영중인 서버의 경우 패치를 바로 적용할 수 없 으므로 다음과 같은 조치를 취해 주시기 바랍니다. 

방법 1. C:\winnt\system32\msw3prt.dll 파일을 삭제합니다. 
방법 2. IIS의 사이트 등록 정보-> 홈 디렉터리 -> 구성에서 .printer과 매핑된 msw3prt.dll을 삭제하십시오.

지금 공지하는 내용은 매우 긴급한 상황입니다. 메일을 받는 즉시 적절한 조치를 취해 주시기 바랍니다. 

※ Thermidor의 주석 ^^;

1) 이건 실제로 어떻게 버그가 작동하는지 모르겠지만 암튼 심각하다니까 패치는 해야겠죠. 떱...ㅡ.ㅡ;

2) 패치파일 : q296576_w2k_sp2_x86_ko.exe (첨부파일을 받으시거나 관련 사이트에서 받으세요.)

3) 관련 사이트
http://www.wug.or.kr/tech_report/report_view.asp?Seq=19 
http://www.microsoft.com/downloads/release.asp?ReleaseID=29328 



2. IIS 버그 패치 (2001-05-14)

IIS 4.0/5.0 사용자들께서는 사용자그룹에서 제공되는 파일을 즉시 패치하시거나
이전에 권고사항이었던 웹 실행 권한을 제거하시기 바랍니다.
이 파일은 크게 세 가지 버그에 대한 보안 설정을 담고 있습니다.

원격에서 IUSR_%computername% 계정 권한 획득으로 인한 로컬 명령어 실행 
FTP 서비스에 특정 컨트롤을 사용한 DoS 공격 
실명으로 FTP를 접속하려 하는 경우, 
FTP 접속을 통해 서버의 주요 정보 노출 가능성 
첫번째는 이전에 문제가 되었던 유니코드 캐릭터 (%1c, %c1) 계열과는 
다른 것으로, 현재 중국에서 발견된 것으로 보고됩니다. 

http://localhost/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\ 

이렇게 명령하면 현재 C:\ 드라이브에 존재하는 커맨드 명령어를 실행할 수 있습니다. 
이는 가상 디렉터리를 삭제하거나, 가상 디렉터리에 대한 웹 실행 권한을 제거해 주시면 됩니다.

'%' = %25, '5' = %35, 'c' = %63
으로 다음 조합이 가능합니다.

%255c = %%35c = %%35%63 = %25%35%63 

현재 미국과 중국의 해커 대전 중에 발견된 문제입니다. 

IIS 4.0을 사용하시는 분은 SP6a설치 이후 파일을 적용하십시오.



※ Thermidor의 주석 ^^;

1) 이건 아무래도 IIS에서 URL입력창의 유니코드 문자열 해석상에서 발생되는 버그인 것 같네요.
'%255c' => '%5C' => ASCII(5C) = '\' 인데... 결국 '..%255c'라는 문자열을 입력하면 '..\'처럼 실제 드라이브상의 상대경로로 인식을 해버리는군요. 떱... 암튼 이건 좀 심각하네요. 파일 삭제는 물론 포맷까지도 웹 브라우저 상으로 다 해버릴 수가 있군요. 떱...

2) 패치파일 : q293826_w2k_sp3_x86_ko.exe (첨부파일을 받으시거나 관련 사이트에서 받으세요.)

3) 관련 사이트
http://www.usergroup.or.kr/news/news_view.asp?Seq=87&Division=공지사항
http://www.microsoft.com/downloads/release.asp?ReleaseID=29770 

4) '실행(스크립트 포함)'으로 기본 설정되어 있는, 관련 IIS 디렉토리들
- {기본 웹사이트}/scripts
- {기본 웹사이트}/_vti_bin
- {기본 웹사이트}/TSWeb
요것들을 '실행(스크립트 포함)' ==> '스크립트'로만 바꿔놔도 일단은 문제가 해결됩니다.
패치를 적용하기 전까지라도 이렇게 해두시길... ^^;

5) 기본 웹사이트가 정지되어 있더라도 실행될 수 있더군요. 예를 들어 새로운 사이트를 C:\wwwroot에다 만들어두었다면(SK 관리통계 사이트의 경우: 실행(스크립트 포함)권한 있었음), 기본 웹사이트가 정지되어 있더라도, 그리고 그 하위의 scripts 디렉토리에 실행 권한이 없더라도 위 버그가 그대로 발견되었습니다. IIS에서 C:\inetpub랑 C:\wwwroot를 혼동까지 하나... ㅡ.ㅡ;