.jpg)
.jpg)
.jpeg)
전문상담 예약 처리결과
전문상담신청이 완료되었습니다.
SK쉴더스 {{ date }}
취약점
[Research & Technique] GNU Heap Buffer Overflow를 이용한 권한 상승 취약점(CVE-2023-4911)
2023
.
11
.
19
취약점 개요
2023년 10월, GNU C 라이브러리 동적 로더의 힙 버퍼 오버플로우(Heap Buffer Overflow) 취약점이 공개됐다. 이 취약점은 ‘Looney Tunables’라고 불리며, 로컬 사용자가 GLIBC_TUNABLES 환경 변수와 setUID가 포함된 프로그램을 이용해 자신의 권한을 상승시킬 수 있게 한다. 리눅스 기반 시스템인 Ubuntu, Debian, Fedora, gentoo, Amazon Linux 등에서 취약점이 발생한다. 취약점의 공식 관리 번호는 CVE-2023-4911이다.
Looney Tunables 취약점은 GLIBC_TUNABLES 환경 변수 문자열을 처리하는 과정에서 발생한다. 정상적인 경우에는 tunable1=AAA:tunable2=BBB와 같은 형식으로 작성되지만, tunable1=tunable2=BBB처럼 값이 이중 할당된 형식으로 작성된 경우 name-value를 올바르게 판단하지 못하고, 이중 처리가 일어나 버퍼 크기보다 큰 결과가 기록되는 힙 버퍼 오버플로우가 발생한다. 이를 통해 조작된 라이브러리가 로드되어 권한 상승이 이루어진다.
또한, GNU C 라이브러리 동적 로더는 프로그램에 필요한 공유 라이브러리를 검색한 뒤, 이를 메모리에 로드하여 실행 파일과 연결한다. 하지만, 이 과정이 setUID 혹은 setGID가 포함된 프로그램에서는 높은 권한으로 실행되기 때문에 보안 위협이 발생한다.
Looney Tunables 취약점은 리눅스 기반 시스템으로 구현된 서버, IoT, 클라우드 서비스 등 다양한 환경에 영향을 미친다. 이러한 시스템에 공격자가 침투하여 권한을 상승시킬 경우, 금전적 손실 뿐만 아니라 물리적 피해가 발생할 수 있다. 실제로 해킹 그룹 킨싱(Kinsing)은 클라우드에 침투하여 권한 상승을 통해 클라우드 자격 증명을 추출하고 암호 화폐를 채굴하는 등의 악성 행위로 피해를 주고 있다.
영향받는 소프트웨어 버전
CVE-2023-4911에 취약한 소프트웨어는 다음과 같다.
* 해당 버전 외에 GNU C 라이브러리를 사용하는 OS에서 취약점이 발생할 가능성이 있음
공격 시나리오
CVE-2023-4911을 이용한 공격 시나리오는 다음과 같다. (후략)
<표 1> 공격 시나리오
더 자세한 내용은 리포트 다운로드를 통해 확인하세요! (클릭)
이전글
개인정보 수집 및 이용 동의
- 개인정보의 수집에 대한 동의를 거부할 권리가 있습니다.
- 다만, 개인정보 수집·이용에 동의하지 않을 경우 간편상담 서비스 제공이 불가능합니다.
수집항목
목적
이용 및 보관기간
고객명, 전화번호
SK쉴더스 제품 및 서비스 상담 등 안내
수집된 개인정보는 상담 신청 후 6개월 보관 /이용 후 파기
마케팅 정보 제공을 위한 개인정보 수집이용 동의
- (주)SK쉴더스는 제품 및 서비스 관련 홍보‧마케팅 정보 발송을 위해 아래와 같이 개인정보를 수집∙이용합니다.
- 귀하는 홍보‧마케팅 활용을 위한 개인정보 수집·이용 동의를 거부할 권리가 있으며, 동의 거부 시에도 상담 신청은 가능합니다.
수집항목
목적
이용 및 보관기간
고객명, 전화번호
SK쉴더스의 제품 및 서비스 관련 홍보∙마케팅 정보 전달
수집된 개인 정보는 상담 신청일로부터 6개월까지 보관 / 이용 후 파기
신용정보활용체제공시
신용정보의 이용 및 보호에 관한 법률
제 32조 제5항 및 동법 시행령 제 28조 제 9항에 따라
당사의 개인 신용정보 조회사실 및 사유를 아래와 같이 공시합니다.
- 조회목적 : 채권추심, 기업 신용도 판단을 위한 대표자 회의
- 조회기간 : 채권추심 위임 기간, 기업과의 상거래 설정 및 유지 기간
- 조회정보 : 신용개설정보, 채무불이행정보, 신용등급 및 평점 등
- 조회기간 : NICE신용평가정보(주), 서울신용평가정보(주)
조회한 내용은 아래 사이트의 ‘신용정보제공사실통보’에서 무료로 확인이 가능합니다.
- NICE신용평가정보(주) : www.mycredit.co.kr 또는 www.creditbank.co.kr
- 서울신용평가정보(주) : www.siren24.com
사업자 등록증 다운로드
사업장
지점명
사업자 번호
뷰가드AI
카메라
저장장치
카메라
저장장치
IP(STL) 저장장치
IP(포커스) 저장장치
전문상담 예약 처리결과
전문상담신청이 완료되었습니다.
홍보 및 마케팅 정보 수신 동의가 정상 처리되었습니다.
SK쉴더스 {{ date }}
SK쉴더스 홍보 및 마케팅 정보 수신 동의 처리결과
홍보 및 마케팅 정보 수신 동의가 정상 처리되었습니다.
SK쉴더스 {{ date }}
고객사용자 신청서 다운로드
고객사용자 신청방법
STEP 1
고객사용자 신청서 다운로드
STEP 2
요청내용 기입 및 계약서와 동일한 인감 날인 (사용인감 사용 시 사용인감계 첨부)
STEP 3
팩스발송 FAX) 02-3407-8140
이메일발송 capsuser@adt.co.kr
이메일발송 capsuser@adt.co.kr
고객 문의 개인정보 수집·이용 동의
(주)SK쉴더스는 홈페이지 이용고객의 문의사항 답변을 위해 아래와 같이 개인정보를 수집·이용 합니다.
개인정보 수집∙이용 내역
필수 항목
선택 항목
수집 목적
보유기간
이름, 이메일(E-mail), 연락처, 회사명/소속기관명, 산업군,
문의사항
회사규모, 문의분야, 인지경로
문의내용 답변 목적
문의내용 처리 후 즉시 파기
개인정보 수집 및 이용 동의
- 개인정보의 수집에 대한 동의를 거부할 권리가 있습니다.
- 다만, 개인정보 수집·이용에 동의하지 않을 경우 고객의 소리 제안 서비스 이용이 불가합니다.
수집항목
목적
이용 및 보관기간
고객 구분, 서비스 구분, 이름, 연락처, 상호명, 고객의 소리(칭찬, 불만, 제안) 내용(제목, 본문)
고객의 소리 제안(칭찬글 게시, 불편사항 등록)에 대한 처리 및 서비스 이용 여부 확인
수집된 개인 정보는 정보 기입 후 1년간 보관됩니다.
개인정보 수집 및 이용 동의(주소)
- 개인정보의 수집에 대한 동의를 거부할 권리가 있으며, 거부 시 불이익은 없습니다.
수집항목
목적
이용 및 보관기간
주소
고객의 소리(칭찬글 게시, 불편사항 등록)에 대한 처리, 및 서비스 이용 여부 확인, 통계 분석 데이터 활용을 통한 서비스 개선
수집된 개인 정보는 정보 기입 후 1년간 보관됩니다.
개인정보 수집 및 이용 동의
- AS접수 및 업무 수행을 위하여 아래와 같이 개인정보를 수집·이용합니다.
- 회사의 개인정보 수집 및 이용에 관한 설명을 이해하고, 이에 동의합니다.
필수항목
목적
이용 및 보관기간
거부권 및 불이익
상호, 이름, 연락처
AS간편접수
수집 후 6개월
개인정보 수집·이용에 동의하지 않을 경우 AS접수가 불가능합니다.
SK쉴더스 뉴스레터 수신 동의 처리결과
뉴스레터 수신 동의가 정상 처리되었습니다.
SK쉴더스 {{ date }}
SK쉴더스 뉴스레터 수신 동의 처리결과
뉴스레터 수신 동의가 정상 처리되었습니다.
홍보 및 마케팅 정보 수신 동의가 정상 처리되었습니다.
SK쉴더스 {{ date }}
전화상담 연결
이름을 입력해주세요.
연락처를 입력해주세요.
상담 시간을 선택해주세요.
문의가 완료되었어요.
URL이 복사되었습니다.
구독신청이 완료되었습니다.
불편∙제안사항글 올리기 완료되었습니다
