오늘 팀 동료를 통해 bash 취약점이 있다는 내용을 들었고, cnet.com 링크를 통해 확인할 수 있다.

bash 보안 취약성 패치하기

제가 배치한 버전은 bash 4.3.25 (이 버전의 패치 코드 25개) 이며, 이 버그는 원격 코드 실행 버그로 매우 위협적인 버그이다.

맥에서는 당시(2014–09–26) MacPort, Homebrew 에서 패치 버전을 제공하지 않는 관계로, 직접 소스 코드를 컴파일 하는 방법으로 해결하였다.

최신 bash 버전으로 패치하고 컴파일 하는 스크립트 코드를 필자의 github 에 커밋하였다.
- https://github.com/powerumc/Patch-Bash-Vulnerability

맥/리눅스 에서 아래의 명령을 실행하면 바로 패치 하도록 했다.

curl https://raw.githubusercontent.com/powerumc/Patch-Bash-Vulnerability/master/patch-bash-4.3.25.sh | sh

참고 (버그 내용)

bash 원격 코드 실행 취약성

쉘에서 아래의 명령을 실행하여 echo 메시지가 확인되면 원격 실행 코드 버그가 있는 버전입니다.

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

코드 실행 결과 (원격 코드 실행 가능한 취약성)

vulnerable
echo this is a test

패치 후 원격 코드 실행 불가능

패치가 완료되면 원격가 실행되지 않는다.

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

코드 실행 결과

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for \`x'
this is a test


Posted by 땡초 POWERUMC

댓글을 달아 주세요

  1. 이반린 2014.09.29 10:59 Address Modify/Delete Reply

    안녕하세요. 서버관리자 입니다. 제가 관리하는 서버가 BASH 취약점이 있는데요.
    외부적으로 포트를 열수가 없어서 수동으로 bash 쉘을 패치해야 하는데
    어떻게 해야 하는지 알려주시면 감사하겠습니다.
    부탁드립니다.

  2. 123124124 2014.09.29 14:59 Address Modify/Delete Reply

    RedHat, CentOS 일 경우
    rpm -Uvh bash............. 하시면 되요

  3. 최혁선 2014.09.29 15:42 Address Modify/Delete Reply

    안녕하세요. 영문페이지로가서 그대로 설치하였더니.....
    $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 명령어를 입력하면 결과에
    sh: error importing function definition for `BASH_FUNC_module()'
    위에 오류가 납니다.. 모듈이 Import되어 있지 않다고 나오는것 같은데. 혹시 이런 증상 해결 방법이 있을까요? 쉘스크립트가 정상적으로 실행이 되는지 테스트 해봐야겠네요..

개요

  • 윈도우  <-> 맥 <-> 리눅스 등 멀티 컴퓨터에서 마우스와 키보드를 공유할 수 있는 소프트웨어로 편하게 개발하기
  • Pair Programming 시에 키보드의 마우스를 주거니 받거니 할 필요 없이 각각 키보드와 마우스를 이용하여 개발하기

 

설치하기

1. 공식 홈페이지

http://synergy-project.org/

 

2. 다운로드 링크

중요 : 현재 다운로드가 공식 홈페이시를 통해 불가능해 졌습니다. 따라서 아래의 링크를 통해 다운로드를 하시기 바랍니다. (저희 팀의 브리츠님께서 알려주신 정보입니다)

Synergy Nightly Buildhttps://synergy-project.org/nightly/

 

Synergy 가 판매 및 기부 방식으로 변경되면서, 아래의 링크에서 다운로드 받을 수 없습니다.

 

Stable version (1.5.1 - Aug 21, 2014) | Beta version (1.6.0 - Aug 26, 2014)

ChangeLog

 윈도우

1.5.1: 64-bit32-bit

  • 위 버젼이 유료로 바뀐 듯 합니다. 아래는 1.5.0 윈도우 버젼 입니다.

http://www.techspot.com/downloads/downloadnow/4978/?evp=8b86258a901d3a0aa2536050c205a7e6&file=2

 Mac OS X

1.5.1: 10.910.810.710.610.5

  Debian & Ubuntu Linux

1.5.1: 64-bit32-bit

  Red Hat & Fedora Linux

1.5.1: 64-bit32-bit

 소스 코드

1.5.1: tar.gz (guide)

다른 다운로드

 

 

구성하기

 

1. 서버 컴퓨터 구성 (OSX 기준)

1.1 시너지를 실행하고, 'Configure Server...' 버튼을 클릭하여, 서버 구성을 시작한다.


 

1.2. 가상 모니터 설정


 

1.3. 필요한 경우 암호화 통신을 구성한다.


 

1.4. 하단의 'Start' 버튼을 클릭하여 서버 구동 시작

(스크린샷 없음)

 

 

2. 클라이언트 구성 (리눅스 기준) ( 캡쳐는 OSX 에서 함)

2.1. 시너지를 실행하고 중간의 'Client (use another computer's keyboard and mouse)' 컨트롤을 체크하고, '1. 서버 컴퓨터 구성' 의 Server IP 를 입력한다.


 

2.2. 시너지의 구성(Preferences) 또는 설정(Settings) 메뉴를 선택하여 클라이언트 설정을 마무리 한다.


 

연결 확인

아래의 이미지와 같이 가상 모니터(POWERUMC) 는 내 컴퓨터의 왼쪽에 위치해 있으므로, 마우스를 화면 왼쪽으로 이동해 본다.

화면 왼쪽을 넘어서면 시너지의 클라이언트로 연결된 컴퓨터에서 마우스와 키보드가 입력된다.

(단, OSX 경우 Secure Input 모드로 진입하게 될 경우 시너지가 올바르게 동작하지 않음)


 



'O/S' 카테고리의 다른 글

[Synergy] 여러 컴퓨터에서 키보드, 마우스 공유  (0) 2014.09.17
Posted by 땡초 POWERUMC

댓글을 달아 주세요