|
:: 게시판
:: 이전 게시판
|
- 자유 주제로 사용할 수 있는 게시판입니다.
- 토론 게시판의 용도를 겸합니다.
통합규정 1.3 이용안내 인용"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
14/09/26 15:57
개발자가 아닌지라 ;;
맥은 터미널에서 확인해보고, os 업데이트 하면 되는건가요? 버그가 확정되면, 뭐가 문제가 생기나요? 보안상 문제인가요?
14/09/26 16:05
일반 사용자는 대체로 아무 것도 걱정할 필요가 없습니다. 이번에 발견된 보안 허점은 일반적이지 않다는 점에서 꽤 흥미롭고, 심각하기도 하지만, 정작 공격 방법의 종류는 매우 제한되어 있습니다. 그래서 개인 컴퓨터에서 웹 서버를 돌리는 경우가 아니라면 영향이 없고, 서버를 돌리더라도 'CGI'라는 낡은 기술을 사용하는 경우가 아니라면 사실상 안전합니다.
14/09/26 16:04
it would allow infected systems to be remotely controlled by hackers who could launch software on a victim's computer.
센트OS쓰는 서버를 몇개 보조로 관리하고 있는데, 사정상 업데이트가 좀 힘든환경인데.... 주 관리자와 상의를 해봐야겠네요. 그리고 제가 쓰는 맥은 그냥 별로 고민할것 없이 업데이트 해야겠네요.
14/09/26 16:24
이 버그가 여러 가지로 흥미로운 것은 사실입니다만, 위험성은 과장된 면이 있습니다. 특히 '허트블리드보다 위험하다' 등등은 완전히 허구라고 생각합니다.
1. 이 버그를 활용하려면 반드시 bash가 새로 실행되어야 합니다. 원격에서 이런 일을 할 수 있으려면 셸 스크립트로 된 CGI를 실행하고 있거나, PHP/자바/파이선 등에서 system() 을 호출하는 경우일 것입니다. 그런데 CGI는 거의 멸종된 상태이니, 버그질라나 메일링 리스트 같은 몇몇 유명한 CGI 프로그램을 쓰는 사이트만 조심하면 됩니다. 2. system() 호출도 생각보다 별로 위험하지 않습니다. 왜냐하면 system() 호출에서 사용되는 셸은 보통 /bin/sh 이기 때문입니다. 이건 bash랑은 별개의 물건입니다. 가끔 bash가 /bin/sh 역할까지 대행하는 시스템이 있긴 하지만, 널리 사용되는 데비안/우분투/페도라/CentOS 등에서는 '대시'(dash)라는 별도의 셸을 사용합니다. 3. 이 버그는 로컬에서는 거의 의미가 없습니다. 이 버그를 이용하려면 필수적으로 환경 변수를 조작할 수 있어야 합니다. 그런데 로컬 바이러스가 환경 변수를 조작할 수 있는 권한을 획득했다면 굳이 이 버그를 쓸 필요조차도 없이 그냥 그 권한 가지고 시스템을 뚫으면 됩니다. (..) 원격에서 환경 변수를 조작할 수 있는 상황, 예를 들어 CGI에서 QUERY_STRING을 조작하는 경우가 있으니 문제가 되는 것이지, 서버를 돌리고 있지 않은 사용자라면 애초에 걱정하는 게 무의미합니다. 물론 이번에 bash가 꽤 체면을 구기긴 했습니다만... 버그 자체의 흥미로움에 비해 실제 공격 루트는 무척 적다는 게 제 견해입니다. 결론: 그러니까 우리 모두 bash 버리고 zsh 씁니다. 자동 완성이 무척 좋습니다. zsh 짱짱맨!
14/09/26 16:42
맥은 heartbleed 사태일 때 openssl 구버전을 탑재하고 있어서 그냥 문제없이(?) 넘어갔습니다.
그런데 이번에는 bash shell 구버전을 쓰기 때문에 문제가 되고 있고요. 그런데 애플 측의 소프트웨어 업데이트로는 해결이 안되고 brew를 이용해서 업데이트해야합니다. 만 저는 귀찮은데다가 서버 돌리는 게 없어서 안하는 중입니다...
14/09/26 16:52
재밌게도 이미 수많은 해커들이 CGI 쓰는 사이트들을 구글링으로 알아낸 다음에 자기들끼리 깃발 꼽기 경쟁을 하고 있더군요. (..) 일단 뚫은 다음에는 후발 주자(?)를 막기 위해 CGI를 지워버린다고...
|
||||||||||||