U-49: DNS 보안 버전 패치
분류: 01_unix
중요도: 상
개요
점검 내용
BIND 최신 버전 사용 유무 및 주기적 보안 패치 여부 점검
점검 목적
❌ 취약점이 발표되지 않은 BIND 버전을 사용하여 시스템 보안성을 높이기 위함
보안 위협
❌ 취약점이 내포된 BIND 버전을 사용할 경우, DoS 공격, 버퍼 오버플로우(Buffer Overflow) 및 DNS 서버 원격 침입 등의 위험이 존재함
참고
BIND(Berkeley Internet Name Domain)
BIND는 BSD 기반의 유닉스 시스템을 위해 설계된 DNS로 서버와 resolver 라이브러리로 구성되어 있음. 네임 서버는 클라이언트들이 이름 자원들이나 Object들에 접근하여, 네트워크 내의 다른 Object들과 함께 정보를 공유할 수 있게 해주는 네트워크 서비스로 사실상 컴퓨터 네트워크 내의 Object들을 위한 분산 데이터베이스 시스템임
점검 대상 및 판단 기준
대상
SOLARIS, LINUX, AIX, HP-UX 등
판단 기준
✅ 양호: 주기적으로 패치를 관리하는 경우
❌ 취약: 주기적으로 패치를 관리하고 있지 않은 경우
조치 방법
- DNS 서비스를 사용하지 않는 경우 서비스 중지 및 비활성화 설정
- DNS 서비스 사용 시 패치 관리 정책 수립 및 주기적으로 패치 적용 설정
참고
DNS 서비스의 경우 대부분의 버전에서 취약점이 보고되고 있으므로 OS 관리자, 서비스 개발자가 패치 적용에 따른 서비스 영향 정도를 정확히 파악하여 주기적인 패치 적용 정책 수리 후 적용
조치 시 영향
패치 적용 시 시스템 및 서비스 영향 정도를 충분히 고려해야 함
점검 및 조치 사례
SOLARIS
-
DNS 서비스 활성화 여부 확인
-
DNS 서비스 비활성화
-
BIND 버전 확인
-
DNS 서비스 최신 패치 버전 확인 및 업데이트
- ISC 홈페이지 https://www.isc.org/downloads/
BIND 9 취약점 정보(BIND 9 Vulnerability matrix)
LINUX
-
DNS 서비스 활성화 여부 확인
-
DNS 서비스 비활성화
-
BIND 버전 확인
-
DNS 서비스 최신 패치 버전 확인 및 업데이트
- ISC 홈페이지 https://www.isc.org/downloads/
BIND 9 취약점 정보(BIND 9 Vulnerability matrix)
AIX
-
DNS 서비스 활성화 여부 확인
-
DNS 서비스 비활성화
-
BIND 버전 확인
-
DNS 서비스 최신 패치 버전 확인 및 업데이트
- ISC 홈페이지 https://www.isc.org/downloads/
BIND 9 취약점 정보(BIND 9 Vulnerability matrix)
HP-UX
-
DNS 서비스 활성화 여부 확인
-
DNS 서비스 중지
-
/etc/rc.config.d/namesrvs파일 내 NAMED 값을 0으로 수정 -
BIND 버전 확인
-
DNS 서비스 최신 패치 버전 확인 및 업데이트
- ISC 홈페이지 https://www.isc.org/downloads/
BIND 9 취약점 정보(BIND 9 Vulnerability matrix)