출처 : Nchovy 인터넷 스톰 센터

SANS 인터넷 스톰 센터에서 경보 단계가 yellow로 상향 조정되었습니다.

INFOCon yellow: update your Debian generated keys/certs ASAP
http://isc.sans.org/diary.html?storyid=4421

Debian and Ubuntu users: fix your keys/certificates NOW
http://isc.sans.org/diary.html?storyid=4420

OpenSSH: Predictable PRNG in debian and ubuntu Linux
http://isc.sans.org/diary.html?storyid=4414

현재 올라온 취약점 권고문을 보시면 여러 곳에서 Debian 계열 배포판 (Ubuntu 포함)의 OpenSSL 예측 가능한 랜덤 숫자 생성 취약점을 언급하고 있습니다. 이미 milw0rm에 익스플로잇 코드 (http://www.milw0rm.com/exploits/5622) 가 게시되었으며, 패스워드가 아닌 공개키/비밀키 기반으로 SSH 인증하는 데비안 계열의 취약한 시스템을 그대로 방치하는 경우 침해 사고가 발생할 가능성이 높습니다. 패치하신 후 ~/.ssh/authorized_keys도 모두 삭제하셔야 합니다.

2006년 9월부터 2008년 5월 13일 사이에 데비안 계열 리눅스 배포판에서 생성된 모든 키와 인증서가 취약합니다. 취약한 RSA 키는 1024비트, 2048비트, 4096비트 가리지 않고 모두 무작위 대입 방법으로 깰 수 있습니다. 보안 웹 서버용으로 발급된 SSL 인증서도 위의 조건을 만족하는 경우 쉽게 깨질 수 있습니다. 공격자가 암호화 된 세션을 중간에 끼어들어서 복호화 가능하다는 의미입니다. 이런 경우는 SSL 인증서도 재발급 받아야 합니다.

SSH 무작위 대입 공격 로그인 시도를 모니터링하실 때 패스워드 기반의 로그인 시도는 이전과 같은 것이므로 이번 취약점과 관련이 없지만, 인증 키 기반으로 로그인을 시도하는 경우 실제 공격이 들어오고 있는 것이므로 반드시 차단하시기 바랍니다. fail2ban이나 denyhosts를 사용하시면 됩니다.

* 추가 *
새로 나온 데비안용 SSH 패키지 (ssh_4.3p2-9etch1)은 "openssh-blacklist"라는 패키지를 적용하고 있습니다. 이 업데이트를 설치하면 SSH 서버가 깨진 키 집합에 속한 키를 거부하도록 되어있습니다. 이 패키지는 또 "ssh-vulnkey"라는 새로운 툴을 설치하게 되어있는데요. 취약한 키를 찾는데 사용하는 도구입니다. 기존의 ssh-keyscan와 이 ssh-vulnkey를 같이 사용하면 서버에 존재하는 취약한 호스트 키를 쉽게 찾아낼 수 있습니다.
xeraph http://nchovy.kr/forum/2/article/100 2008-05-14T18:11:52Z
CVE : http://nchovy.kr/security/cve.atom
홈페이지 변조 : http://nchovy.kr/security/defacement.atom
SANS 공격자 IP 통계 : http://nchovy.kr/security/sans_top_source.atom
SANS 출발지 포트 통계 : http://nchovy.kr/security/sans_top_source_port.atom
SANS 목적지 포트 통계 : http://nchovy.kr/security/sans_top_target_port.atom

주한이가 Atom 추가를 완료했습니다. CVE는 한 달 내에 실시간 업데이트가 가능해질 예정입니다. 최근에 Zone-H가 오프라인 상태라서 기록이 안 올라오고 있는데요. 어떻게 될지 좀 더 지켜봐야 될 듯 합니다. 최근에 주로 ASP + SQL 서버로 구성된 웹사이트를 대상으로 대규모 SQL 인젝션 공격이 발생하고 있으니 주의하시기 바랍니다. 자세한 내용은 http://swbae.egloos.com/ 찾아보시면 됩니다.

최근에 용어사전에 대한 피드백을 좀 받았는데요. 찾으시는 용어가 없거나 궁금한 것 있으시면 질문/답변 게시판에 올려주세요. 답변 달아드리겠습니다. ^^

감사합니다~
xeraph http://nchovy.kr/forum/2/article/91 2008-05-08T15:56:52Z
처음에 설계했던 CVE 테이블 스키마가 일부분 잘못 되어서 재작업을 했습니다. 원래 번역 기능 추가하는 것 자체는 얼마 안 걸리는 일인데, 깨끗한 데이터를 다시 넣으려고 하다보니 시간이 좀 오래걸렸네요. CVE 번역 등 새로 추가된 화면은 지희 씨께서 디자인을 해주셨습니다. 감사합니다. ^^

"로그인" 하신 다음 "보안정보"에서 "CVE" 메뉴로 들어가신 다음 각 항목을 조회해보시면, 오른쪽 하단에 "번역등록" 버튼이 새로이 생긴 것을 보실 수 있습니다. 한글화 대상 항목은 취약점 자체에 대한 설명, 영향 범위, 해결 방안입니다. 나머지는 속성값이거나 소프트웨어 이름이기 때문에 별도로 한글화를 하지 않더라도 보는데 무리가 없거든요. 현재 CVE 항목이 3만개 정도 되는데 시간 나실 때마다 입력 부탁드립니다 ^^;

원래 최근에 변경된 CVE를 자동으로 받아서 업데이트를 해야되는데, 팀원들이 언어를 전환하는 것 때문에 시간이 좀 걸리고 있습니다. 당분간은 변경분을 쌓아놓기만 하다가 나중에 자동 업데이트가 완성되면 그 때부터는 RSS Reader로 CVE 업데이트 된 것을 받아보실 수 있게 될 것입니다.

그 외 "보안정보"의 "서비스 포트 검색" 메뉴에 가보시면, 그동안은 입력을 완료한 뒤 검색 버튼을 눌러야만 결과가 출력되었는데, 실시간으로 키 입력할 때마다 검색 결과를 가져오도록 UI를 개선했습니다. 호용이가 이 작업을 했는데, 앞으로도 태그 클라우드 등 UI를 많이 개선해줄겁니다 ㅎㅎ. 수고했어요~

그 외 기존 "한국 해킹 유형 통계"와 "한국 공격 유형 통계" 목록에서 "용어사전"에 등재된 항목은 링크가 걸리도록 되어있었는데 잘 눈에 안 띄어서 아이콘이 붙었습니다. 그리고 CVE와 SANS 통계는 현재 Atom 피드가 제공되지 않고 있는데, 다음 주 정도면 주한이가 작업을 완료해 줄 것입니다.

개선 의견 있으시면 언제나 주저없이 알려주세요. 감사합니다~