2008-10-16
안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다.
9월 보안 업데이트를 공지 드립니다. 해당 시스템 운영하시는 고객분께서는 반드시 아래내용을 숙지하시고 업데이트를 실시 하시기 바랍니다
문의 : 02-6265-1108
담당자 : 김봉기 주임
[MS08-056] Microsoft Office 정보 유출 취약점
□ 영향
o 공격자가 영향 받는 시스템의 정보 획득
□ 설명
o Microsoft Office에서 사용자가 조작된 CDO URL을 클릭할 경우 정보 유출 취약점이 발생
※ CDO : Collaboration Data Objects, 메시징 프로그램을 만들거나, 애플리케이션 프로그램들
간의 협동, 또는 이러한 기능들을 기존의 애플리케이션에 추가하기 위한 마이크로소프트의 기술
o 공격이 성공하면 사용자의 브라우저에 클라이언트 사이드 스크립트가 주입될 수 있다. 공격자는
주입된 스크립트를 통하여 사용자가 브라우저를 통해 접근하는 정보를 획득할 수 있음
o 관련취약점 :
- Vulnerability in Content-Disposition Header Vulnerability - CVE-2008-4020
o 영향 : 정보유출
o 중요도 : 보통
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Office XP SP 3
o 영향 받지 않는 소프트웨어
- Microsoft Office 2000 SP3
- Microsoft Office 2003 SP2, SP3
- 2007 Microsoft Office System, SP1
- Microsoft Office Excel/PowerPoint/Word Viewer 2003, SP3
- Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats, SP1
- Microsoft Works 8.0, 8.5, 9.0
- Microsoft Works Suite 2005, 2006
- Microsoft Office 2004, 2005 for Mac
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS08-056.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS08-056.mspx
[MS08-057] Microsoft Excel 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o Micrsoft Excel에서 조작된 Excel 파일을 사용할 경우 원격코드실행 취약점이 발생
o 공격이 성공하면 공격자는 영향 받는 시스템에 대해 완전한 권한 획득 가능
o 관련취약점 :
- Calendar Object Validation Vulnerability - CVE-2008-3477
- File Format Parsing Vulnerability - CVE-2008-3471
- Formula Parsing Vulnerability - CVE-2008-4019
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Office 2000 SP3
- Microsoft Office XP SP3
- Microsoft Office 2003 SP2, SP3
- 2007 Microsoft Office System, SP1
- Microsoft Office Excel Viewer, 2003, 2003 SP3
- Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats, SP1
- Microsoft Office SharePoint Server 2007, SP1
- Microsoft Office SharePoint Server 2007 x64 Edition, SP1
- Microsoft Office 2004, 2008 for Mac
- Open XML File Format Converter for Mac
o 영향 받지 않는 소프트웨어
- Microsoft Works 8.0, 8.5, 9.0
- Microsoft Works Suite 2005, 2006
- Microsoft Office SharePoint Server 2003 SP3
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/bulletin/MS08-057.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS08-057.mspx
[MS08-058] Internet Explorer 누적 보안 업데이트
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o Internet Explorer에서 조작된 웹 페이지를 방문할 경우 정보 유출 및 원격코드실행 취약점이 발생
o 공격자는 악의적인 웹페이지를 구축한 후 사용자가 방문하도록 유도함. 공격이 성공하면 공격자는
영향 받는 시스템에 대해 완전한 권한 획득 가능
o 관련취약점 :
- Window Location Property Cross-Domain Vulnerability - CVE-2008-2947
- HTML Element Cross-Domain Vulnerability - CVE-2008-3472
- Event Handling Cross-Domain Vulnerability - CVE-2008-3473
- Cross-Domain Information Disclosure Vulnerability - CVE-2008-3474
- Uninitialized Memory Corruption Vulnerability - CVE-2008-3475
- HTML Objects Memory Corruption Vulnerability - CVE-2008-3476
o 영향 : 정보 유출 및 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- IE 5.01 and IE 6 SP1 on Microsoft Windows 2000 SP4
- IE 6 on Windows XP SP2, SP3
- IE 6 on Windows XP Professional x64 Edition, SP2
- IE 6 on Windows Server 2003 SP1, SP2
- IE 6 on Windows Server 2003 x64 Edition, SP2
- IE 6 on Windows Server 2003 with SP1, SP2 for Itanium-based Systems
- IE 7 on Windows XP SP2, SP3
- IE 7 on Windows XP Professional x64 Edition, SP2
- IE 7 on Windows Server 2003 SP1, SP2
- IE 7 on Windows Server 2003 x64 Edition, SP2
- IE 7 on Windows Server 2003 with SP1, SP2 for Itanium-based Systems
- IE 7 on Windows Vista, SP1
- IE 7 on Windows Vista x64 Edition, SP1
- IE 7 on Windows Server 2008 for 32-bit Systems
- IE 7 on Windows Server 2008 for x64-based Systems
- IE 7 on Windows Server 2008 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/bulletin/MS08-058.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS08-058.mspx
[MS08-059] Host Integration Server RPC Service 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o 공격자가 영향 받는 Host Integration Server 시스템을 대상으로 조작된 Remote Procedure Call
(RPC) 요청을 보냈을 경우 원격코드실행 취약점이 발생
※ HIS : Host Integration Server, 기업조직내 기 구축된 프로그램 서버, 데이터, 보안시스템 등을
MS 플랫폼으로 새롭게 통합하기 위한 제품
※ RPC : Remote Procedure Call, 한 프로그램이 네트워크 상의 다른 컴퓨터에 위치하고 있는
프로그램에 서비스를 요청하는데 사용되는 프로토콜
o 공격이 성공하면 공격자는 영향 받는 시스템에 대해 완전한 권한 획득 가능
o 관련취약점 :
- HIS Command Execution Vulnerability - CVE- 2008-3466
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향받는 소프트웨어
- Microsoft Host Integration Server 2000 SP2 (Server)
- Microsoft Host Integration Server 2000 Administrator Client
- Microsoft Host Integration Server 2004, SP1 (Server, Client)
- Microsoft Host Integration Server 2006 for 32-bit systems
- Microsoft Host Integration Server 2006 for x64-based systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/bulletin/MS08-059.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS08-059.mspx
[MS08-060] Active Directory 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o 공격자가 영향 받는 시스템을 대상으로 조작된 LDAP나 LDAPS 요청을 보냈을 경우 원격코드실행
취약점이 발생
※ LDAP : Lightweight Directory Access Protocol, 인터넷/네트워 상에 있는 파일이나 장치들과
같은 자원등의 위치를 찾을 수 있게 해주는 프로토콜
※ LDAPS : LDAP over SSL, LDAP 데이터를 암호화하여 전송 및 수신
o 공격이 성공하면 공격자는 영향 받는 시스템에 대해 완전한 권한 획득 가능
o 관련취약점 :
- Active Directory Overflow Vulnerability - CVE-2008-4023
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 Server SP4
o 영향 받지 않는 소프트웨어
- Microsoft Windows 2000 Professional SP4
- Windows XP SP2, SP3
- Windows XP Professional x64 Edition, SP2
- Windows Server 2003 SP1, SP2
- Windows Server 2003 x64 Edition, SP2
- Windows Server 2003 with SP1, SP2 for Itanium-based Systems
- Windows Vista, SP1
- Windows Vista x64 Edition, SP1
- Windows Server 2008 for 32-bit Systems
- Windows Server 2008 for x64-based Systems
- Windows Server 2008 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/bulletin/MS08-060.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS08-060.mspx
[MS08-061] Windows Kernel 취약점으로 인한 권한상승 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득 및 권한 상승
□ 설명
o Windows Kernel에 원격코드실행 취약점이 존재
o 공격이 성공하면 공격자는 영향 받는 시스템에 대해 완전한 권한 획득 및 권한 상승 가능
o 관련취약점 :
- Windows Kernel Window Creation Vulnerability - CVE-2008-2250
- Windows Kernel Unhandled Exception Vulnerability - CVE-2008-2251
- Windows Kernel Memory Corruption Vulnerability - CVE-2008-2252
o 영향 : 권한상승
o 중요도 : 중요
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 SP4
- Windows XP SP2, SP3
- Windows XP Professional x64 Edition, SP2
- Windows Server 2003 SP1, SP2
- Windows Server 2003 x64 Edition, SP2
- Windows Server 2003 with SP1, SP2 for Itanium-based Systems
- Windows Vista, SP1
- Windows Vista x64 Edition, SP1
- Windows Server 2008 for 32-bit Systems
- Windows Server 2008 for x64-based Systems
- Windows Server 2008 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/bulletin/MS08-061.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS08-061.mspx
[MS08-062] 윈도우 인터넷 프린팅 서비스의 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o IIS가 구동중인 윈도우 시스템에서 인터넷 프린팅 서비스가 활성화한 경우 원격코드실행 취약점이
발생
※ Internet Printing Service, Windows XP가 설치된 클라이언트에서 임의지역에 위치한 프린터로
HTTP 데이터를 전송하여 프린트하는 기능
o 원격의 인증된 공격자는 영향받는 시스템 상에서 임의의 코드를 실행 가능
o 관련취약점 :
- Integer Overflow in IPP Service Vulnerability - CVE-2008-1446
o 영향 : 원격코드실행
o 중요도 : 중요
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 SP4
- Windows XP SP2, SP3
- Windows XP Professional x64 Edition, SP2
- Windows Server 2003 SP1, SP2
- Windows Server 2003 x64 Edition, SP2
- Windows Server 2003 with SP1, SP2 for Itanium-based Systems
- Windows Vista, SP1
- Windows Vista x64 Edition, SP1
- Windows Server 2008 for 32-bit Systems
- Windows Server 2008 for x64-based Systems
- Windows Server 2008 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS08-062.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS08-062.mspx
[MS08-063] SMB 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o SMB 프로토콜에 특별하게 조작된 파일 이름을 처리하는 과정에서 원격코드실행 취약점이 발생
※ SMB : Server Message Block, 도스나 윈도우에서 파일이나 디렉토리 및 주변장치들을 공유
하는데 사용되는 메시지 형식
o 공유 타입이 디스크인 경우에만 취약한 함수가 사용되므로 공격을 성공하기 위해서는 인증이 필요
함
o 관련취약점 :
- SMB Buffer Underflow Vulnerability - CVE-2008-4038
o 영향 : 원격코드실행
o 중요도 : 중요
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 SP4
- Windows XP SP2, SP3
- Windows XP Professional x64 Edition, SP2
- Windows Server 2003 SP1, SP2
- Windows Server 2003 x64 Edition, SP2
- Windows Server 2003 with SP1, SP2 for Itanium-based Systems
- Windows Vista, SP1
- Windows Vista x64 Edition, SP1
- Windows Server 2008 for 32-bit Systems
- Windows Server 2008 for x64-based Systems
- Windows Server 2008 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/bulletin/MS08-063.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS08-063.mspx
[MS08-064] VAD 조작 취약점으로 인한 권한상승 문제
□ 영향
o 로컬의 공격자가 영향 받는 시스템에 대해 권한상승을 통해 완전한 권한 획득
□ 설명
o 메모리 관리자가 메모리 할당 및 VAD를 처리하는 과정에서 권한상승 취약점
※ VAD : Virtual Address Descriptor, 메모리 관리자에 의해 프로세스의 주소공간에 메모리 할당에
대한 상태를 기술하는 이진트리 구조체
o 로컬의 공격자는 특수하게 조작된 응용프로그램을 실행하여 영향 받는 시스템에 대해 보다 높은
권한을 획득 가능
o 관련취약점 :
- Virtual Address Descriptor Elevation of Privilege Vulnerability - CVE-2008-4036
o 영향 : 권한상승
o 중요도 : 중요
□ 해당시스템
o 영향 받는 소프트웨어
- Windows XP SP2, SP3
- Windows XP Professional x64 Edition, SP2
- Windows Server 2003 SP1, SP2
- Windows Server 2003 x64 Edition, SP2
- Windows Server 2003 with SP1, SP2 for Itanium-based Systems
- Windows Vista, SP1
- Windows Vista x64 Edition, SP1
- Windows Server 2008 for 32-bit Systems
- Windows Server 2008 for x64-based Systems
- Windows Server 2008 for Itanium-based Systems
o 영향 받지 않는 소프트웨어
- Microsoft Windows 2000 SP4
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/bulletin/MS08-064.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS08-064.mspx
[MS08-065] 메시지 큐잉 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o Message Queuing Service (MSMQ)가 활성화된 윈도우 2000 시스템에서 RPC 요청을 파싱하는
과정에서 취약한 문자열 복사 오퍼레이션으로 인한 원격코드실행 취약점 발생
※ MSMQ : MS Message Queuing, 다른 네트워크/시스템에서 동작하는 응용 프로그램간에 통신
기능 제공
o 공격자는 특별하게 조작된 RPC 요청을 보냄으로서 영향받는 시스템에 대한 완전한 권한 획득
가능
o 관련취약점 :
- Message Queuing Service Remote Code Execution Vulnerability - CVE-2008-3479
o 영향 : 원격코드실행
o 중요도 : 중요
□ 해당시스템
o 영향받는 소프트웨어
- Microsoft Windows 2000 SP4
o 영향 받지 않는 소프트웨어
- Windows XP SP2, SP3
- Windows XP Professional x64 Edition, SP2
- Windows Server 2003 SP1, SP2
- Windows Server 2003 x64 Edition, SP2
- Windows Server 2003 with SP1, SP2 for Itanium-based Systems
- Windows Vista, SP1
- Windows Vista x64 Edition, SP1
- Windows Server 2008 for 32-bit Systems
- Windows Server 2008 for x64-based Systems
- Windows Server 2008 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/bulletin/MS08-065.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS08-065.mspx
[MS08-066] 보조 기능 드라이버 취약점으로 인한 권한상승 문제
□ 영향
o 로컬의 공격자가 영향 받는 시스템에 대해 권한상승을 통해 완전한 권한 획득
□ 설명
o 유저 모드에서 전달된 입력값을 커널에서 적절하지 않게 검증하지 않아서 Ancillary Function
Driver (afd.sys)에서 권한 상승 취약점이 발생
※ AFD : Ancillary Function Driver, Winsock과 같은 네트워크 통신을 담당하지만 kernel mode
에서 동작하는 드라이버
o 관련취약점 :
- AFD Kernel Overwrite Vulnerability - CVE-2008-3464
o 영향 : 권한상승
o 중요도 : 중요
□ 해당시스템
o 영향받는 소프트웨어
- Windows XP SP2, SP3
- Windows XP Professional x64 Edition, SP2
- Windows Server 2003 SP1, SP2
- Windows Server 2003 x64 Edition, SP2
- Windows Server 2003 with SP1, SP2 for Itanium-based Systems
o 영향 받지 않는 소프트웨어
- Microsoft Windows 2000 SP4
- Windows Vista, SP1
- Windows Vista x64 Edition, SP1
- Windows Server 2008 for 32-bit Systems
- Windows Server 2008 for x64-based Systems
- Windows Server 2008 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/bulletin/MS08-066.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS08-066.mspx
참조 : 인터넷침해사고대응센터