온라인 침입자가 Red hat, Fedora project를 습격하다
Robert Lemos, SecurityFocus 2008-08-22
모르는 침입자가 Red Hat과 Fedora project Linux firm을 사용하는 몇몇 컴퓨터의 보안을 뚫어 관리자들로 하여금 시스템을 지난 한주간 오프라인으로 두게 만들었다고 Fedora와 Redhat은 밝혔다.
가장 놀랄만한 것은 페도라 프로젝트가 사용된 시스템으로 하여금 자동으로 end user의 시스템에 S/W package를 업데이트 하도록 영향을 미쳤다는 것이다. 또한 이 습격은 Fedora project의 DB와 Proxy server들, 그리고 hosted system과 연결된 네트워크에도 영향을 미쳤다. Red Hat을 이용하는 더 적은 수의 서버들이 이 습격에 영향을 받았다고 Fedora Project는 자신들의 공표에 밝혔다.
하지만, 습격 소식이 이렇게 큼에도 불구하고, Fedora project는 공격자가 package의 서명된 키를 얻지는 못했다고 항변했다. 그 암호 마스터키는 공격자가 악성 소프트웨어를 Fedora 사용자들의 시스템에 업데이트 프로세스를 통해 끼워 넣는데 필요한 것이다.
"우리가 조사해 본 바에 의하면, 우리는 침입자가 키 서명을 통해 Fedora package를 안전하게 하는데 이용했던 패스워드 문구를 얻지 못했다고 확신할 수 있다"라고 Red Hat의 Fedora Project Leader인 Paul Frields는 금요일에 있었던 발표를 통해 말했다. "우리의 조사 결과에 의하면, 패스워드 문구는 시스템에 침입이 있었던 시점에는 사용되었던 적이 없고, Fedora 서버의 어느 곳에도 패스워드 문구가 저장되어 있지 않았다"라고 또한 말했다.
Fedora Project는 리눅스 OS인 Red Hat의 무료 버전의 개발과 배포를 관리해왔다. Fedora 개발자들에 의해 만들어진 Software는 Red Hat Enterprise Linux를 포함한 상업적인 버전의 리눅스와 비상업적인 버전의 리눅스의 다양한 여러가지 방향을 찾았다.
비록 Fedora Project가 침입자가 서명 키가 침해당했다는데에 아무런 증거가 없다고 했다 하더라도, 회사는 새로운 키를 생성하고 배포하기로 결정을 했다. 또한 Fedora Project 관리자들은 또한 소프트웨어 컴포넌트들의 모음들에 대한 다양한 체크를 수행했고, 그 결과 트로이 목마가 소프트웨어에 들어가 져 있다고 의심될만한 그 어떤 것도 발견된 바가 없다고 Fields씨는 말했다.
침입자가 Red Hat 시스템에 제한적인 영향을 줬을 뿐이라고 하더라도, 그들은 잠재적으로 위험할 수 있는 OpenSSH패키지들의 여러가지 다른 서명된 버전을 만들었을 수는 있다고 회사 측은 말했다.
((중략))
이어지는 뒷 이야기가 궁금하신 분은 아래의 링크를 클릭하세요.
http://www.securityfocus.com/news/11532/1
Robert Lemos, SecurityFocus 2008-08-22
모르는 침입자가 Red Hat과 Fedora project Linux firm을 사용하는 몇몇 컴퓨터의 보안을 뚫어 관리자들로 하여금 시스템을 지난 한주간 오프라인으로 두게 만들었다고 Fedora와 Redhat은 밝혔다.
가장 놀랄만한 것은 페도라 프로젝트가 사용된 시스템으로 하여금 자동으로 end user의 시스템에 S/W package를 업데이트 하도록 영향을 미쳤다는 것이다. 또한 이 습격은 Fedora project의 DB와 Proxy server들, 그리고 hosted system과 연결된 네트워크에도 영향을 미쳤다. Red Hat을 이용하는 더 적은 수의 서버들이 이 습격에 영향을 받았다고 Fedora Project는 자신들의 공표에 밝혔다.
하지만, 습격 소식이 이렇게 큼에도 불구하고, Fedora project는 공격자가 package의 서명된 키를 얻지는 못했다고 항변했다. 그 암호 마스터키는 공격자가 악성 소프트웨어를 Fedora 사용자들의 시스템에 업데이트 프로세스를 통해 끼워 넣는데 필요한 것이다.
"우리가 조사해 본 바에 의하면, 우리는 침입자가 키 서명을 통해 Fedora package를 안전하게 하는데 이용했던 패스워드 문구를 얻지 못했다고 확신할 수 있다"라고 Red Hat의 Fedora Project Leader인 Paul Frields는 금요일에 있었던 발표를 통해 말했다. "우리의 조사 결과에 의하면, 패스워드 문구는 시스템에 침입이 있었던 시점에는 사용되었던 적이 없고, Fedora 서버의 어느 곳에도 패스워드 문구가 저장되어 있지 않았다"라고 또한 말했다.
Fedora Project는 리눅스 OS인 Red Hat의 무료 버전의 개발과 배포를 관리해왔다. Fedora 개발자들에 의해 만들어진 Software는 Red Hat Enterprise Linux를 포함한 상업적인 버전의 리눅스와 비상업적인 버전의 리눅스의 다양한 여러가지 방향을 찾았다.
비록 Fedora Project가 침입자가 서명 키가 침해당했다는데에 아무런 증거가 없다고 했다 하더라도, 회사는 새로운 키를 생성하고 배포하기로 결정을 했다. 또한 Fedora Project 관리자들은 또한 소프트웨어 컴포넌트들의 모음들에 대한 다양한 체크를 수행했고, 그 결과 트로이 목마가 소프트웨어에 들어가 져 있다고 의심될만한 그 어떤 것도 발견된 바가 없다고 Fields씨는 말했다.
침입자가 Red Hat 시스템에 제한적인 영향을 줬을 뿐이라고 하더라도, 그들은 잠재적으로 위험할 수 있는 OpenSSH패키지들의 여러가지 다른 서명된 버전을 만들었을 수는 있다고 회사 측은 말했다.
((중략))
이어지는 뒷 이야기가 궁금하신 분은 아래의 링크를 클릭하세요.
http://www.securityfocus.com/news/11532/1
Carly님의 덧붙이기 :
기사 내용이 너무 길어서 뒷 내용은 생략했는데 뒷 내용에서 중요한 부분들에 대해서만 언급을 하자면,
다음과 같은 이야기들이 있었다.
최근 들어서 open source os들에 대한 침해 사고가 잦은 것 같은데, (8월말에 우분투 서버 역시 8대 중 5대가 침해되었다고 한다.)
또 internet에서 S/W 업데이트 시스템을 이용하는 경우,
도리어 이것이 문제가 되어 다양한 방법을 통해 악성 코드가 심길 수도 있게 된 위험도 생긴 것이다.
(Man-in-the-middle-attack 이라거나, 아니면 자동 패치 시스템을 가장한 백도어같은 것)
여러 대의 서버를 운용하는 경우 일일이 수동으로 패치하는 것이 정말로 귀찮은 일이지만,
그렇다고 자동으로 패치 하는 것 또한 위험할 수 있으니, 결국 관리자들이 계속해서 신경을 쓸 수 밖에는 없다.
* 원문 출처 : http://www.securityfocus.com/news/11532?ref=rss
No comments:
Post a Comment