|
-MS SQL ¼¹ö ½Å±Ô ¿ø°ÝÄÚµå½ÇÇà Ãë¾àÁ¡ ÁÖÀÇ-
1. °³¿ä
o sp_replwritetovarbin¶ó´Â È®Àå ÀúÀå ÇÁ·Î½ÃÀú(Extended Stored Procedure)¿¡ Á¸ÀçÇÏ´Â Èü
¿À¹öÇ÷οì Ãë¾àÁ¡¿¡ ÀÇÇÑ ¿ø°ÝÄÚµå½ÇÇà ¹®Á¦ [1]
o °ø°ÝÀÌ ¼º°øÇÏ¸é °ø°ÝÀÚ´Â ¿µÇâ ¹Þ´Â ½Ã½ºÅÛ¿¡ ´ëÇØ ¿ÏÀüÇÑ ±ÇÇÑ È¹µæ °¡´É
- °ø°ÝÀ» ¼º°øÇϱâ À§Çؼ °ø°ÝÀÚ´Â ·ÎÄÃÀ̳ª ¸®¸ðÆ®ÀÇ ÀÎÁõµÈ »ç¿ëÀÚÀ̾î¾ß ÇÔ
- SQL ÀÎÁ§¼Ç °ø°Ý°ú °áÇÕÇϸé Ãë¾àÇÑ À¥ ¼¹ö¸¦ ´ë»óÀ¸·Î ÀÎÁõ¾øÀÌ °ø°Ý °¡´É
2. ÇØ´ç½Ã½ºÅÛ
o ¿µÇâ ¹Þ´Â ¼ÒÇÁÆ®¿þ¾î
- Microsoft SQL Server 2000
- Microsoft SQL Server 2005
- Microsoft SQL Server 2005 Express Edition
- Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)
- Microsoft SQL Server 2000 Desktop Engine (WMSDE)
- Windows Internal Database (WYukon)
o ¿µÇâ ¹ÞÁö ¾Ê´Â ¼ÒÇÁÆ®¿þ¾î
- Microsoft SQL Server 7.0 Service Pack 4
- Microsoft SQL Server 2005 Service Pack 3
- Microsoft SQL Server 2008
3. ÇØ°áÃ¥
o ÇöÀç ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇÑ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®»çÀÇ º¸¾È¾÷µ¥ÀÌÆ®´Â ¹ßÇ¥µÇÁö ¾Ê¾ÒÀ¸³ª,
sp_replwritetovarbinÀÇ Á¢±Ù ±ÇÇÑÀ» Á¦ÇÑ(Deny)Çϸé ÇØ´ç Ãë¾àÁ¡À» ÇØ°á °¡´ÉÇÔ [1, 2]
¡Ø ´ëºÎºÐÀÇ °æ¿ì¿¡´Â sp_replwritetovarbin¸¦ ºñÈ°¼ºÈÇÏ´õ¶óµµ ¾Æ¹«·± ¿µÇâÀÌ ¾øÁö¸¸,
¾÷µ¥ÀÌÆ® °¡´ÉÇÑ ±¸µ¶ ¼³Á¤À» °¡Áø Æ®·£Àè¼Ç º¹Á¦(Transactional Replication)¸¦ »ç¿ëÇÒ
°æ¿ì¿¡´Â sp_replwritetovarbinÀÇ ºñÈ°¼ºÈ°¡ ±¸µ¶ Å×À̺íÀÇ ¾÷µ¥ÀÌÆ®¸¦ ¸·±â ¶§¹®¿¡ ÁÖÀǸ¦ ¿äÇÔ
- SQL ¼¹ö¿¡ sysadminÀ¸·Î ¿¬°áÇÏ¿© ´ÙÀ½ÀÇ T-SQL ½ºÅ©¸³Æ®¸¦ ½ÇÇà:
use master
deny execute on sp_replwritetovarbin to public
- ´ÙÀ½ÀÇ SQL ¼¹ö °ü¸®¿ë GUI µµ±¸¸¦ »ç¿ëÇÏ¿© Á¢±Ù ±ÇÇÑ ¼³Á¤À» º¯°æ:
* Server Enterprise Manager (SQL 2000)
* SQL Server Management Studio (SQL 2005)
4. ¿ë¾îÁ¤¸®
o È®Àå ÀúÀå ÇÁ·Î½ÃÀú(Extended Stored Procedure): SQL ¼¹öÀÇ ±â´ÉÀ» È®ÀåÇϱâ À§ÇÑ ¿ÜºÎ ·çƾÀ¸·Î
³»Àå(built-in) È®Àå ÀúÀå ÇÁ·Î½ÃÀú¸¦ È£ÃâÇϰųª ÀڽŸ¸ÀÇ È®Àå ÀúÀå ÇÁ·Î½ÃÀú¸¦ ÀÛ¼ºÇÒ ¼ö ÀÖÀ½ [3]o Èü ¿À¹öÇ÷οì: ÀÀ¿ëÇÁ·Î±×·¥¿¡¼ ÁöÁ¤µÈ ´ë»ó ¹öÆÛÀÇ Å©±âº¸´Ù ¸¹Àº µ¥ÀÌÅ͸¦ °ËÁõ¾øÀÌ º¹»çÇÒ °æ¿ì
¹ß»ýÇÏ´Â ¹öÆÛ ¿À¹öÇ÷οìÀÇ ÀÏÁ¾À¸·Î ¸Þ¸ð¸®ÀÇ Èü ¿µ¿ª¿¡¼ ¿À¹öÇ÷ο찡 ÀϾÀ¸·Î ÀÎÇØ °ø°ÝÀÚ°¡
ÀÔ·ÂÇÑ ÀÓÀÇÀÇ Äڵ带 ½ÇÇà°¡´ÉÇÑ Ãë¾àÁ¡
o SQL ÀÎÁ§¼Ç: À̽ºÄÉÀÌÇÁ ¹®ÀÚ¿Í °°Àº »ç¿ëÀÚÀÇ ÀԷ°ªÀ» °ËÁõÇÏÁö ¾Ê´Â ÀÀ¿ëÇÁ·Î±×·¥À» ´ë»óÀ¸·Î
¾ÇÀÇÀûÀ¸·Î SQL ±¸¹®À» ÁÖÀÔÇÏ¿© ÀÎÁõÀ» ¿ìȸÇϰųª ³»ºÎ DBÀÇ µ¥ÀÌÅ͸¦ À¯Ãâ ¹× º¯Á¶ÇÏ´Â °ø°Ý
o Æ®·£Àè¼Ç º¹Á¦(Transactional Replication): °Ô½ÃÀÚÀÇ µ¥ÀÌÅÍ º¯°æ¿¡ ´ëÇÑ Æ®·£Àè¼ÇÀ» Áï°¢ÀûÀ¸·Î
±¸µ¶Àڵ鿡°Ô ÀüÆÄÇÏ¿© º¹Á¦ À¯ÇüÀ¸·Î Æ®·£Àè¼ÇÀÌ ±¸µ¶Àڵ鿡°Ô µ¿ÀÏÇÏ°í ºü¸£°Ô ¿øÀÚ¼º(Atomicity)À»
°¡Áö°í Àû¿ëµÇ¾î¾ß ÇÒ °æ¿ì¿¡ À¯¿ëÇÔ [4]
5. ±âŸ ¹®ÀÇ»çÇ×
o Çѱ¹Á¤º¸º¸È£ÁøÈï¿ø ÀÎÅͳÝħÇØ»ç°í´ëÀÀÁö¿ø¼¾ÅÍ: ±¹¹ø¾øÀÌ 118
6. ÂüÁ¶»çÀÌÆ®
[1] http://www.microsoft.com/technet/security/advisory/961040.mspx
[2] http://blogs.technet.com/swi/archive/2008/12/22/more-information-about-the-sql-stored-
procedure-vulnerability.aspx
[3] http://www.windowsitlibrary.com/Content/77/20/1.html
[4] http://download.microsoft.com/download/a/d/c/adc1e134-7e30-4aae-a834-cc2d30bddf67/
replication_swanchoi_v02.ppt
¹®ÀÇ : ¢Î 02-1544-5455 - ³Ø½ºÆ®¶óÀÎ ±â¼úºÎ
³Ø½ºÆ®¶óÀÎÀº ¾ÕÀ¸·Îµµ ¾çÁúÀÇ ¼ºñ½ºÁ¦°øÀ» À§ÇØ ÃÖ¼±À» ´ÙÇÏ°Ú½À´Ï´Ù.
°¨»çÇÕ´Ï´Ù.
|
