옵션스블리드 Optionsbleed

1 개요[ | ]

Optionsbleed

옵션스블리드

• CVE-2017-9798
• 아파치 웹서버 메모리 임의로 유출되는 버그 발견
• 유형: 아파치 HTTP의 유즈 애프터 프리(use after free) 오류

2 형태[ | ]

• HTTP OPTIONS 요청에 응답시 생성되는 '허용(Allow)' 헤더를 오염시킴
• 기존 하트블리드와 같은 웹사이트 취약점 형태임

3 주요 문제점[ | ]

• HTTP OPTIONS 요청 응답시 생성되는 '허용(Allow)' 헤더 오염
• 웹서버 보안 관련 프로세스 임의 메모리 조각 유출
• 메모리 조각 수차례 Request 후 일정 시간 후 변경되므로, 취약한 호스트는 해당 일정 시간 내 메모리 청크 유출
• 프로그램 할당됐다가 사용이 끝난 이후 할당 해제된 데이터가 메모리 영역에서 미처 소거되지 않고 남아 있는 데이터를 일정 기간 내 스니핑함
• 정적분석 툴에서는 해당 보안 이슈를 use after free Bug로 분류함

4 버그 개선 방법[ | ]

• 아파치 웹서버가 돌아가고 있는 공유 호스팅 서비스 아파치 패치 적용 필요

5 같이 보기[ | ]

• 유즈 애프터 프리
• 하트블리드

6 참고[ | ]

• http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170921140345 아파치 웹서버 메모리 임의로 유출되는 버그 발견 《ZDNet Korea》 임민철 기자 2017-09-21
• 옵션스블리드(Optionsbleed) 위험성 News

https://arstechnica.com/information-technology/2017/09/apache-bug-leaks-contents-of-server-memory-for-all-to-see-patch-now/

• https://access.redhat.com/security/cve/CVE-2017-9798