alzip 및 apache 신규 취약성 - 주의

바다란입니다.

 

금일 보안 관련 메일링 리스트를 보다 보니 눈에 띄는 두 가지 취약성이 있어서 게시를 하게 되었습니다.
하나는 apache 모듈 관련된 인증 회피 부분이고 하나는 앞으로 나올 가능성이 있는 악성 바이러스와 관련된 Alzip 취약성 입니다.
아마도 Apache는 서비스 영역에 대다수 사용이 되고 있고 Alzip의 경우는 개인 사용자 단위에서 많이 사용하고 있을 것입니다. 따라서 주의가 필요합니다.

 

* 바이러스에 악용될 신규 취약성인 Alzip은 6.13 버전으로 업데이트 권고 드립니다. - 개인 사용자
* Apache . .htaccess 에서 require group 지시어 사용시 1.5 또는 2.1 버전으로 업데이트 권고 드립니다.

 

Apache의 Mod_auth_shadow 모듈에 대해 인증 회피가 가능한 문제가 발견이 되었습니다.
내부적으로 서비스에서 apache를 이용하고 인증 관련된 부분에 mod_auth_shadow 모듈을 사용한다면 업데이트를 권고 합니다.

모듈 사용시 apache Version을 1.5 또는 2.1 버전 이상으로 업데이트를 권고합니다.
mod_auth_shadow 모듈은 .htaccess 에서 require group 이라는 지시어를 사용할 때 자동적으로 사용이 됩니다. 따라서 해당 지시어를 사용하는지 확인이 필요할 것 같습니다.

ALZIP 관련된 문제는 메일을 통해 압축 파일을 받았을 경우 또는 메신저나 파일 공유를 통해서 압축된 파일을 받았을 경우에 시스템에 영향을 미칠 수 있습니다. 신규 전파 가능한 경로로서 이용이 될 수 있을 것 같습니다.

압축된 파일을 풀때 경계를 체크하지 않은 문제로 인해 오버플로우 코드를 심을 수 있습니다. 스택 및 힙 오버플로우가 동시에 발견 되었고 ARJ , ALZ 파일의 경우는 열었을 경우 악성코드가 실행이 되며 그외의 압축 파일은 압축 파일을 풀때 악성코드가 실행이 됩니다.

따라서 한국을 겨냥한 특정 바이러스의 살포도 가능한 취약성이며 향후 개인사용자들을 대상으로 무작위로 퍼질 가능성이 있는 문제중의 하나입니다.
사용하시는 압축툴이 알집일 경우 버전을 확인 하시고 업데이트 반드시 하셔서 차후에 발생할 수 있는 피해를 미연에 막는 IT 생활의 지혜를 누리시길 ^^

 

=========================================================================================

TITLE:
Apache mod_auth_shadow Module "require group" Incorrect Authentication

SECUNIA ADVISORY ID:
SA17060

VERIFY ADVISORY:
http://secunia.com/advisories/17060/

CRITICAL:
Less critical

IMPACT:
Security Bypass

WHERE:
From remote

SOFTWARE:
mod_auth_shadow (module for Apache)
http://secunia.com/product/2811/

DESCRIPTION:
David Herselman has reported a security issue in the mod_auth_shadow module for Apache,
which potentially can be exploited by malicious people to bypass certain security restrictions.

The problem is that the mod_auth_shadow authentication scheme is automatically used when using the
"require group" directive in a ".htaccess" file, which may be different than the intended HTTP authentication scheme.

SOLUTION:
Update to version 1.5 or 2.1.
http://sourceforge.net/project/showfiles.php?group_id=11283

PROVIDED AND/OR DISCOVERED BY:
David Herselman

ORIGINAL ADVISORY:
Debian:
http://www.debian.org/security/2005/dsa-844

 

=========================================================================================
TITLE:
ALZip Multiple Archive Handling Buffer Overflow

SECUNIA ADVISORY ID:
SA16847

VERIFY ADVISORY:
http://secunia.com/advisories/16847/

CRITICAL:
Moderately critical

IMPACT:
System access

WHERE:
From remote

SOFTWARE:
ALZip 6.x
http://secunia.com/product/5669/
ALZip 5.x
http://secunia.com/product/5668/

DESCRIPTION:
Secunia Research has discovered a vulnerability in ALZip, which can be exploited by malicious people to compromise a user's system.

The vulnerability is caused due to multiple boundary errors when reading the filename of a compressed file
from ALZ, ARJ, ZIP, UUE, or XXE archives. This can be exploited to cause a stack-based buffer overflow (ALZ), or a heap-based buffer overflow (ARJ / ZIP / UUE / XXE).

Successful exploitation allows execution of arbitrary code when a malicious ALZ / ARJ archive is opened, or when a ZIP / UUE / XXE archive is extracted.

The vulnerability has been confirmed in the following versions:
* ALZip v6.12 (Korean)
* ALZip v6.1 (International)
* ALZip v5.52 (English)

Prior versions may also be affected.

SOLUTION:
Update to version 6.13 (Korean and International).