Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보CVE-2015-8382,CVE-2015-8385,CVE-2015-8386,CVE-2015
작성일 2016-11-09 조회 2236

개요

 

1. PCRE 정규식 라이브러리 8.37,8.38,8.x등의 버전에서 발생

2. 취약점은 PCRE 표현 중 라이브러리에서 정상적으로 처리하지 못하는 정규식 표현이 있어 발생하는 공격

3. 공격자는 취약버전의 PCRE 라이브러리를 사용하는 함수(Javascript RegExp, php preg_match등) 파라미터값에 비정상적인 공격 문자열 전송

 

 

4. Memory Corruption,DDoS 등의 공격이 성공되며, 악성코드 실행, 자료유출, 서비스장애 등이 발생

5. 국내외 발생 빈도 및 영향도는 미약

 

대응방안

 

1. PCRE 라이브러리 업데이트 (http://vcs.pcre.org/pcre/code/trunk/ChangeLog?view=markup)

2. PCRE 취약점 우회 코드 웹서버 설치

(http://git.php.net/?p=php-src.git;a=commit;h=c351b47ce85a3a147cfa801fa9f0149ab4160834)

 

 

3. 본 취약점은 PCRE 표현 중 라이브러리에서 정상적으로 처리하지 못하는 정규식 표현이 있어 발생하는 공격

4. 정규식 표현은 기호,문자,축약,치환,변환 등의 연산,계산알고리즘을 이용한 문자열 표현식으로 규정화된 하나의 패턴으로 탐지가 불가능

5. 예를 들어 CVE-2015-8388의 경우 PCRE before 8.38 mishandles the /(?=di(?<=(?1))|(?=(.))))/ pattern and related patterns with an unmatched closing parenthesis, 즉 ()의 열고 닫음이 pair 되지 않고 위와 같은 표현식이 쓰이면 오류가 발생하게 되는데 기존  패턴체계로는 문자열의 PCRE 상태 파악이 불가능

6. 그러므로 웹쉘 탐지 시스템과 같은 웹서버 보안 장비를 통해 웹서버 내부보안 필요

첨부파일 첨부파일이 없습니다.
태그 CVE-2015-8382  CVE-2015-8385  CVE-2015-8386  CVE-2015-8387  CVE-2015-8388