Security advisories(어드버져리)
1. Security advisories(어드버져리)란?
- Security advisories는 소프트웨어 개발사(Vendor)에 의해 발표
- Public 공개 원칙, 초기단계에 공개대상 제한
- 사전 안내의 경우 : 큰 고객, 보안기업을 대상
- 패치가 없는 상황이 있을 수 있다.
- 대중공개를 할 경우 패치 혹은 update가 존재
- 소프트웨어 제공 회사와 공급 개발자 중심으로 구성함
- Advisories의 사용자는 SW의 User, 시스템관리자, 추가 개발자들 이 이용
- 각 개발사마다 자체 포맷이 있으나 공통적으로 지켜야 하는 최소한의 요구사항들이 있다.
1) 이름/날짜/구별을 위한 식별자
2) 위험도 (Criticality)
3) 영향을 받는 제품들
4) 대책
- 공개 시 고려사항
1) 악용하기에 충분한 정보는 제공하면 안 된다.
2) 공격자는 일단 공개가 되면 역공학을 통해 패치 및 update를 분석하므로 공개 시 신중해야 한다.
2. CVE-2013-6462 의 어드버져리 문서
- 해당 취약점이 발견된 것은 2013년도 말인데
이 어드버져리 문서가 나온 건 2014년이다.
CVE (Common Vul. And Exposures)
1. CVE란?
- CERT에 의해 1999년에 시작
- 취약점의 표준화된 식별(Identification)을 목표
- Vendor 중심 자체 식별자 지정
- 상호 의사소통의 어려움 해결
- (여전히) 각 Vendor 및 공급자들이 자신의 advisory 발표 가능
- 단, CVE를 통해 상호참조
- 사용자들은 CVE ID를 활용하여 취약점 추적
- MITRE(CVE를 관리하는 조직)가 현재 관리하며 지속적을 취약점 관리
- ITU-T에 의해 취약점 DB 표준을 추천됨
2. 취약점과 유출
1) 취약점(Vulnerabilities)
- 해커에 의해 이용될 수 있는 실수
- 시스템의 보안정책을 깨뜨리는 상황의 빌미가 되는 것
- 다른 사용자의 권한으로 명령실행
- 접근통제정책 위배(P. E., D. L.)
- DoS 공격 대상
2) 유출(Exposures)
- 시스템의 설정 문제나 소프트웨어상의 실수
- 중요한 공격을 수행하는데 활용 가능한 정보를 드러내는 상황
3. CVE Identifiers
4. NVD - CVE 정보를 제공하는 웹사이트
- 취약점인 CVE는 여러 개의 CWE로 구성된다. 즉 모든 취약점은 약점들의 집합으로 표현이 가능!
'Study > Software Security' 카테고리의 다른 글
[소프트웨어보안] 컴퓨터의 구조 및 소프트웨어 실행 원리, C언어와 어셈블리어의 이해 (0) | 2022.10.19 |
---|---|
[소프트웨어보안] 소프트웨어의 정적 분석 방법 (0) | 2022.10.12 |
[소프트웨어보안] 소프트웨어의 개발 절차 및 보안관리, 취약점에 대한 Public Advisory (0) | 2022.10.05 |
[소프트웨어보안] Argc/Argv Programming, sscanf (0) | 2022.10.05 |
[소프트웨어보안] SW 보안의 5 요소 (0) | 2022.09.28 |