자료 출처 : http://www.krcert.net/secureNoticeView.do?seq=-1&num=300

해당 내용은 패치가 되지 않은 취약점입니다 ~~ 라고 이전에 적어놨는데 지금은 뭐 패치가 끝나고도 남을 시점이겠네..ㅠㅠ

이전 Mass SQL Injection과 관련되어 특정 명령어 및 SP에 대해 페이지의 사용자 select update에 대한 권한을 확인한적이 있다.

이 결과에 따라 일반 유저의 저장프로시저 및 확장 저장 프로시저에 대한 실행에 대한 권한을 확인하여 처리한 적이 있었다.

위의 케이스는 이것과 비슷하다고 생각한다 비슷한 결과로 'sp_replwritetovarbin' 확장 저장 프로시저의 취약점이 발생됨에 따라

이 프로시저의 퍼블릭 실행 권한을 제거하길 권고하고 있다

해당 프로시저의 사용유무를 확인해 주시고, 사용하지 않는다면 MS의 공식 패치가 발표되기 전까지 

해당 프로시저의 퍼블릭 실행 권한을 제거하는 것이 좋을 것 같다. 기회가 된다면 웹개발. DBA, 서버보안담당자가 다같이 이번 기회를

맞아 이쁜 정리를 하는 것도 좋을 것 같다.

난 서버 관리자로서 경고는 했지만, 개발자및 DBA가 언제 확인 및 조치를 할지 모르기 때문에 일단  운영중인 웹서버에 webknight를 설치하고

'sp_replwritetovarbin' 과 'replwritetovarbin' 부분만 아스키코드로 변경해서 '7265706C7772697465746F76617262696E' 를 추가 필터링 하였다.

일반적인 조치지만 뭐 안하는 것 보다는 좋지 않을까 ~~

'IT > Information' 카테고리의 다른 글

파일구리 툴바 ?  (0) 2009.02.23
쿠키와 세션  (0) 2009.02.19
MS SQL 서버 신규 원격코드 실행 취약점 주의  (0) 2009.02.10
사이코패스 테스트  (0) 2009.02.05
구글 검색 Tip  (0) 2008.12.09
Saved Password Locations  (0) 2008.12.04