옵션스블리드 Optionsbleed

1 개요[ | ]

Optionsbleed
옵션스블리드
  • CVE-2017-9798
  • 아파치 웹서버 메모리 임의로 유출되는 버그 발견
  • 유형: 아파치 HTTP의 유즈 애프터 프리(use after free) 오류

2 형태[ | ]

  • HTTP OPTIONS 요청에 응답시 생성되는 '허용(Allow)' 헤더를 오염시킴
  • 기존 하트블리드와 같은 웹사이트 취약점 형태임

3 주요 문제점[ | ]

  • HTTP OPTIONS 요청 응답시 생성되는 '허용(Allow)' 헤더 오염
  • 웹서버 보안 관련 프로세스 임의 메모리 조각 유출
  • 메모리 조각 수차례 Request 후 일정 시간 후 변경되므로, 취약한 호스트는 해당 일정 시간 내 메모리 청크 유출
  • 프로그램 할당됐다가 사용이 끝난 이후 할당 해제된 데이터가 메모리 영역에서 미처 소거되지 않고 남아 있는 데이터를 일정 기간 내 스니핑함
  • 정적분석 툴에서는 해당 보안 이슈를 use after free Bug로 분류함

4 버그 개선 방법[ | ]

  • 아파치 웹서버가 돌아가고 있는 공유 호스팅 서비스 아파치 패치 적용 필요

5 같이 보기[ | ]

6 참고[ | ]

https://arstechnica.com/information-technology/2017/09/apache-bug-leaks-contents-of-server-memory-for-all-to-see-patch-now/
문서 댓글 ({{ doc_comments.length }})
{{ comment.name }} {{ comment.created | snstime }}