| |
KA-2003-07: Buffer Overflow in DIRECTORY parameter of Oracle9i/Database Server
----------------------
ÃÖÃÊÀÛ¼ºÀÏ : 2003-02-19
°» ½Å ÀÏ :
Ãâ ó : NGG
ÀÛ ¼º ÀÚ : °Áر¸(jgkang@certcc.or.kr)
-- Á¦¸ñ --------------
Oracle9i/Database ServerÀÇ DIRECTORY parameter ¹öÆÛ¿À¹öÇ÷ΠÃë¾àÁ¡
-- ÇØ´ç ½Ã½ºÅÛ --------
Oracle9i/Database Release 2
Oracle9i/Database Release 1
Oracle8i/Database Release v 8.1.7
Oracle8i/Database Release v 8.0.6
--¿µÇâ-----------------
DIRECTORY parameter ¹öÆÛ¿À¹öÇ÷θ¦ ÀÌ¿ëÇÏ¿© °ø°ÝÀÌ °¡´ÉÇÏ´Ù.
-- ¼³¸í-----------------------------
BFILENAME ÇÔ¼öÀÇ DIRECTORY parameter¿¡ ÀáÀçÀû º¸¾È Ãë¾àÁ¡ÀÌ ¹ß°ßµÇ¾ú´Ù.
°ø°ÝÀÚ´Â ÀÌ ÇÔ¼öÀÇ ¹öÆÛ¿À¹öÇ÷θ¦ ÀÌ¿ëÇÏ¿© ħÀÔÇÒ ¼ö ÀÖ´Ù.
-- ÇØ°áÃ¥--------------------------
ÆÐÄ¡¸¦ Ç϶ó.
ÆÐÄ¡ ´Ù¿î·Îµå À§Ä¡ :
target=_blank>http://metalink.oracle.com
À¥ÆäÀÌÁö¿¡¼ ÆÐÄ¡ ¹öÆ°À» Ŭ¸¯ÇÏ°í Bug Number 2642117À» ÀÔ·ÂÇÏ°í
submit ¹öÆ°À» Ŭ¸¯Çϸé ÆÐÄ¡¸¦ ´Ù¿î¹ÞÀ» ¼ö ÀÖ´Ù.
------- ÂüÁ¶ »çÀÌÆ® --------------------------
target=_blank>http://otn.oracle.com/deploy/security/pdf/2003alert48.pdf
target=_blank>http://metalink.oracle.com
--------------------------------------------
³Ø½ºÆ® Á¦³Ê·¹ÀÌ¼Ç ½ÃÅ¥¸®Æ¼ ¼ÒÇÁÆ®¿þ¾î°¡ ¿À¶óŬÀÇ ÃֽŠµ¥ÀÌÅͺ£À̽º Á¦Ç°¿¡¼ 6°³ÀÇ °áÇÔÀ» ã¾Æ³Â´Ù. ³Ø½ºÆ® Á¦³Ê·¹ÀÌ¼Ç ½ÃÅ¥¸®Æ¼ ¼ÒÇÁÆ®¿þ¾î´Â Áö³ ´Þ â±ÈÇÑ ½½·¡¸Ó ¿úÀ» À¯¹ß½ÃŲ ¿øÃÊ ¹ö±×¸¦ ¹ß°ßÇß´ø ¿µ±¹ÀÇ º¸¾È ¾÷ü´Ù.
¿À¶óŬÀº ÀÌ 6°³ÀÇ °áÇÔ¿¡ ´ëÇÑ ÆÐÄ¡¸¦ Áö³ÁÖ ³»³õ¾Ò´Ù. 6°³Áß 4°³´Â ´ë´ÜÈ÷ Ä¡¸íÀûÀÏ ¼ö ÀÖ´Â °áÇÔÀÌ¸ç ³ª¸ÓÁö 2°³´Â ´ÜÁö ¹®Á¦ÀÇ ¼ÒÁö¸¦ ´ã°í ÀÖ´Â Á¤µµÀÎ °ÍÀ¸·Î ÀüÇØÁö°í ÀÖ´Ù.
¿À¶óŬÀÇ ÃÖ°íº¸¾ÈÃ¥ÀÓÀÚ(CSO ; chief security officer)ÀÎ ¸Å¸® ¾Ø µ¥À̺ñ½¼Àº ¿À¶óŬÀÌ ÆÐÄ¡¸¦ Ãâ½ÃÇÏ´Â ¹æ½ÄÀ» ü°èÈÇÏ·Á°í ³ë·ÂÇØ¿ÔÀ¸¸ç ÀÌ´Â °í°´µéÀÌ ³Ê¹«³ª ¸¹Àº ÆÐÄ¡µé·Î °í¹ÎÇÏ´Â Çö»óÀ» ´ú¾îÁÖ±â À§ÇÑ °ÍÀ̶ó°í ¹àÇû´Ù.
±×³à´Â "»ç¿ëÀڵ鿡°Ô ÆÐÄ¡¸¦ ¼³Ä¡Çϵµ·Ï Çϱâ À§ÇØ Ç×»ó °í¹Î ÁßÀÌ´Ù. ¿ì¸®°¡ ¿¹Àü¿¡ °³Á¤ÇÑ ¹ö±× ´ëó ¾ç½Ä¿¡ µû¸£¸é ¹®Á¦°¡ Å©°Å³ª ½É°¢ÇÑ °æ¿ì¿¡´Â ¹Ì¸® Á¤ÇØÁø °ø½Ä¿¡ µû¸£µµ·Ï µÇ¾î ÀÖ´Ù. ƯÁ¤ Áß¿äµµ¸¦ ³Ñ¾î¼¸é Àüü ÆÐÄ¡ ¼¼Æ®¸¦ Ãâ½ÃÇϱâ Àü¿¡ ÀÏ´Ü ÀÏȸ¿ë ÆÐÄ¡¸¦ ³»³õ´Â´Ù"¶ó°í ¸»Çß´Ù.
±× °ø½ÄÀº ÇØ´ç ¼ÒÇÁÆ®¿þ¾îÀÇ »ç¿ë ºóµµ ¹× °áÇÔÀ¸·Î ¹ß»ýÇÒ ¼ö ÀÖ´Â ¿µÇâ µîÀ» Æ÷ÇÔÇÏ°í ÀÖ´Ù.
À̹ø °áÇÔ¿¡´Â 4°³ÀÇ Ä¡¸íÀûÀÎ ¹öÆÛ ¿À¹öÇ÷ο찡 Æ÷ÇԵǾî Àִµ¥, ±×°ÍµéÀº ÃֽŠ¿À¶óŬ 9i ¸±¸®Áî 2 µî ¿©·¯ ¿À¶óŬ µ¥ÀÌÅͺ£À̽º ¼¹ö ¼ÒÇÁÆ®¿þ¾î ±¸¼º¿ä¼Ò¿¡¼ ¹ß°ßµÆ´Ù.
¹öÆÛ ¿À¹öÇ÷οì, Áï ¿À¹ö·±(overrun)Àº ¾î¶² ¾ÖÇø®ÄÉÀ̼ÇÀÌ ¸Þ¸ð¸®¸¦ ÀûÀýÈ÷ ´Ù·çÁö ¸øÇÏ´Â °æ¿ì ¹ß»ýÇÒ ¼ö ÀÖ´Ù. ÇØÄ¿´Â ¹öÆÛ ¿À¹öÇ÷ο츦 ¹ß»ý½ÃÄÑ ¾ÖÇø®ÄÉÀ̼ÇÀÇ ½ÇÇà È帧 ¾ÈÀ¸·Î ÀÚ½ÅÀÇ Äڵ带 »ðÀÔÇÒ ¼ö ÀÖ´Ù. ÀÌ 4°³ÀÇ °áÇÔÀº °¢°¢ µ¥ÀÌÅͺ£À̽º¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Â ¾ÇÀÇÀûÀÎ ´©±º°¡¿¡°Ô ¼¹ö ÅëÁ¦±ÇÀ» ³Ñ±æ °¡´É¼ºÀ» °¡Áö°í ÀÖ´Ù.
³ª¸ÓÁö 2°³ÀÇ °áÇÔÀº ¿À¶óŬ ¼¹öÀÇ ´Ù¸¥ ±¸¼º¿ä¼Ò¸¦ ÀÌ¿ëÇÏ¸ç ¼ºñ½º °ÅºÎ °ø°ÝÀ» À¯¹ß½Ãų ¼ö ÀÖ´Ù.
µ¥À̺ñ½¼Àº ¡°±Ç°í¹® 5°³¿¡ °áÇÔ 6°³¶ó´Â ¼ýÀÚ°¡ ¹«½Ã¹«½ÃÇÏ°Ô µé¸± ¼öµµ ÀÖÀ» °ÍÀÌ´Ù. ±×·¯³ª ¿À¶óŬÀº MS°¡ ÈçÈ÷ »ç¿ëÇϴ å·«ÀÎ ÇϳªÀÇ ÅëÇÕµÈ °æ°í¸¦ ¹ßÇÏ´Â °Íº¸´Ù °¢°¢¿¡ ´ëÇØ º°µµ·Î °æ°íÇÏ´Â ÆíÀÌ ´õ Ÿ´çÇÏ´Ù°í ÆÇ´ÜÇß´Ù¡±¶ó°í ¹àÇû´Ù.
±×³à´Â "¿ì¸®´Â °ÔÀÓÀ» ÇÏÁö ¾ÊÀ» °ÍÀÌ´Ù. ÅëÇÕµÈ ÇϳªÀÇ °æ°í¸¸À» ³¾ ¼öµµ ÀÖ¾úÁö¸¸ ¿ì¸®´Â ¿ÀÈ÷·Á ±×°ÍÀÌ ´õ Å« È¥¶õ¿¡ ºÒ·¯¿Ã ¼ö ÀÖ´Ù°í »ý°¢Çß´Ù"¶ó°í ¸»Çß´Ù. @
|