Ȩ | ·Î±×ÀÎ | ¸¶ÀÌÆäÀÌÁö | ȸ»ç¼Ò°³ | °í°´¼¾ÅÍ | »çÀÌÆ®¸Ê | ¸®¼¿·¯Á¦ÈÞ | ¼Ö·ç¼Ç
ÄÚ¸®¾ÆÈ£½ºÆÃ

       ns1.koreahosting.org
       211.39.130.6
       ns2.koreahosting.org
       211.39.130.7

  ±Ù¹«½Ã°£¿Ü¿¡ ¹®ÀÇ»çÇ×Àº
  ¾Æ·¡ÀÇ1:1 »ó´ã¹®ÀǸ¦
  ÀÌ¿ëÇϽñ⠹ٶø´Ï´Ù.
 
 
ÀÛ¼ºÀÏ : 2009-01-02 Á¶È¸ : 543070
MS SQL ¼­¹ö ½Å±Ô ¿ø°ÝÄÚµå½ÇÇà Ãë¾àÁ¡ ÁÖÀÇ
¡à °³¿ä

o sp_replwritetovarbin¶ó´Â È®Àå ÀúÀå ÇÁ·Î½ÃÀú(Extended Stored Procedure)¿¡ Á¸ÀçÇÏ´Â Èü
¿À¹öÇ÷οì Ãë¾àÁ¡¿¡ ÀÇÇÑ ¿ø°ÝÄÚµå½ÇÇà ¹®Á¦ [1]
o °ø°ÝÀÌ ¼º°øÇÏ¸é °ø°ÝÀÚ´Â ¿µÇâ ¹Þ´Â ½Ã½ºÅÛ¿¡ ´ëÇØ ¿ÏÀüÇÑ ±ÇÇÑ È¹µæ °¡´É
- °ø°ÝÀ» ¼º°øÇϱâ À§Çؼ­ °ø°ÝÀÚ´Â ·ÎÄÃÀ̳ª ¸®¸ðÆ®ÀÇ ÀÎÁõµÈ »ç¿ëÀÚÀ̾î¾ß ÇÔ
- SQL ÀÎÁ§¼Ç °ø°Ý°ú °áÇÕÇϸé Ãë¾àÇÑ À¥ ¼­¹ö¸¦ ´ë»óÀ¸·Î ÀÎÁõ¾øÀÌ °ø°Ý °¡´É

¡à ÇØ´ç½Ã½ºÅÛ

o ¿µÇâ ¹Þ´Â ¼ÒÇÁÆ®¿þ¾î
- Microsoft SQL Server 2000
- Microsoft SQL Server 2005
- Microsoft SQL Server 2005 Express Edition
- Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)
- Microsoft SQL Server 2000 Desktop Engine (WMSDE)
- Windows Internal Database (WYukon)

o ¿µÇâ ¹ÞÁö ¾Ê´Â ¼ÒÇÁÆ®¿þ¾î
- Microsoft SQL Server 7.0 Service Pack 4
- Microsoft SQL Server 2005 Service Pack 3
- Microsoft SQL Server 2008

¡à ÇØ°áÃ¥

o ÇöÀç ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇÑ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®»çÀÇ º¸¾È¾÷µ¥ÀÌÆ®´Â ¹ßÇ¥µÇÁö ¾Ê¾ÒÀ¸³ª,
sp_replwritetovarbinÀÇ Á¢±Ù ±ÇÇÑÀ» Á¦ÇÑ(Deny)Çϸé ÇØ´ç Ãë¾àÁ¡À» ÇØ°á °¡´ÉÇÔ [1, 2]
¡Ø ´ëºÎºÐÀÇ °æ¿ì¿¡´Â sp_replwritetovarbin¸¦ ºñÈ°¼ºÈ­ÇÏ´õ¶óµµ ¾Æ¹«·± ¿µÇâÀÌ ¾øÁö¸¸,
¾÷µ¥ÀÌÆ® °¡´ÉÇÑ ±¸µ¶ ¼³Á¤À» °¡Áø Æ®·£Àè¼Ç º¹Á¦(Transactional Replication)¸¦ »ç¿ëÇÒ
°æ¿ì¿¡´Â sp_replwritetovarbinÀÇ ºñÈ°¼ºÈ­°¡ ±¸µ¶ Å×À̺íÀÇ ¾÷µ¥ÀÌÆ®¸¦ ¸·±â ¶§¹®¿¡
ÁÖÀǸ¦ ¿äÇÔ


- SQL ¼­¹ö¿¡ sysadminÀ¸·Î ¿¬°áÇÏ¿© ´ÙÀ½ÀÇ T-SQL ½ºÅ©¸³Æ®¸¦ ½ÇÇà:

use master
deny execute on sp_replwritetovarbin to public

- ´ÙÀ½ÀÇ SQL ¼­¹ö °ü¸®¿ë GUI µµ±¸¸¦ »ç¿ëÇÏ¿© Á¢±Ù ±ÇÇÑ ¼³Á¤À» º¯°æ:

* Server Enterprise Manager (SQL 2000)
* SQL Server Management Studio (SQL 2005)

¡à ¿ë¾îÁ¤¸®

o È®Àå ÀúÀå ÇÁ·Î½ÃÀú(Extended Stored Procedure): SQL ¼­¹öÀÇ ±â´ÉÀ» È®ÀåÇϱâ À§ÇÑ ¿ÜºÎ
·çƾÀ¸·Î ³»Àå(built-in) È®Àå ÀúÀå ÇÁ·Î½ÃÀú¸¦ È£ÃâÇϰųª ÀڽŸ¸ÀÇ È®Àå ÀúÀå ÇÁ·Î½ÃÀú¸¦
ÀÛ¼ºÇÒ ¼ö ÀÖÀ½ [3]
o Èü ¿À¹öÇ÷οì: ÀÀ¿ëÇÁ·Î±×·¥¿¡¼­ ÁöÁ¤µÈ ´ë»ó ¹öÆÛÀÇ Å©±âº¸´Ù ¸¹Àº µ¥ÀÌÅ͸¦ °ËÁõ¾øÀÌ º¹»çÇÒ
°æ¿ì ¹ß»ýÇÏ´Â ¹öÆÛ ¿À¹öÇ÷οìÀÇ ÀÏÁ¾À¸·Î ¸Þ¸ð¸®ÀÇ Èü ¿µ¿ª¿¡¼­ ¿À¹öÇ÷ο찡 ÀϾÀ¸·Î ÀÎÇØ
°ø°ÝÀÚ°¡ ÀÔ·ÂÇÑ ÀÓÀÇÀÇ Äڵ带 ½ÇÇà°¡´ÉÇÑ Ãë¾àÁ¡
o SQL ÀÎÁ§¼Ç: À̽ºÄÉÀÌÇÁ ¹®ÀÚ¿Í °°Àº »ç¿ëÀÚÀÇ ÀԷ°ªÀ» °ËÁõÇÏÁö ¾Ê´Â ÀÀ¿ëÇÁ·Î±×·¥À» ´ë»ó
À¸·Î ¾ÇÀÇÀûÀ¸·Î SQL ±¸¹®À» ÁÖÀÔÇÏ¿© ÀÎÁõÀ» ¿ìȸÇϰųª ³»ºÎ DBÀÇ µ¥ÀÌÅ͸¦ À¯Ãâ ¹× º¯Á¶ÇÏ´Â
°ø°Ý
o Æ®·£Àè¼Ç º¹Á¦(Transactional Replication): °Ô½ÃÀÚÀÇ µ¥ÀÌÅÍ º¯°æ¿¡ ´ëÇÑ Æ®·£Àè¼ÇÀ» Áï°¢Àû
À¸·Î ±¸µ¶Àڵ鿡°Ô ÀüÆÄÇÏ¿© º¹Á¦ À¯ÇüÀ¸·Î Æ®·£Àè¼ÇÀÌ ±¸µ¶Àڵ鿡°Ô µ¿ÀÏÇÏ°í ºü¸£°Ô ¿øÀÚ¼º
(Atomicity)À» °¡Áö°í Àû¿ëµÇ¾î¾ß ÇÒ °æ¿ì¿¡ À¯¿ëÇÔ [4]

¡à ±âŸ ¹®ÀÇ»çÇ×

o Çѱ¹Á¤º¸º¸È£ÁøÈï¿ø ÀÎÅͳÝħÇØ»ç°í´ëÀÀÁö¿ø¼¾ÅÍ: ±¹¹ø¾øÀÌ 118

¡à ÂüÁ¶»çÀÌÆ®

[1] http://www.microsoft.com/technet/security/advisory/961040.mspx
[2] http://blogs.technet.com/swi/archive/2008/12/22/more-information-about-the-sql-stored-procedure-vulnerability.aspx
[3] http://www.windowsitlibrary.com/Content/77/20/1.html
[4] http://download.microsoft.com/download/a/d/c/adc1e134-7e30-4aae-a834-cc2d30bddf67/replication_swanchoi_v02.ppt

ÀÚ·áÃâó : http://www.krcert.or.kr