Windows NT 4.0, Windows 2000, 그리고 Exchange 2000에서의 NNTP(Network News Transport Protocol) 서비스 내에 새로운 메일을 처리하는 루틴에서 메모리 고갈이 발생하는 취약점이 존재한다.
이는 특별한 형태의 메일이 처리될 때마다 더이상 사용이 불가능한 일정크기의 메모리가 소모되는 형태로 나타난다. (프로세스 처리후 프로세스에 할당된 메모리를 O/S에 돌려주지 못해서 다른 프로세스에 추가할당이 불가능한 상태가 되는 것).
따라서 공격자가 대용량의 공격 Packet(특별한 형태의 메일)을 계속 전송했을 경우에는 정상적인 서비스가 불가능할 정도까지 메모리가 고갈될 수 있다. 이렇게 공격받은 서버는 IISAdmin 서비스를 중단했다가 재동작 시켜야만 정상 작동이 가능하다.
- Exchange 5.5은 NNTP 서비스를 제공하지만, 해당 취약점에 영향을 받지 않는다.
- Exchange 2000은 NNTP 서비스를 제공하지 않지만, 만약 NNTP 서비스가 가능하게 하려면, native Windows 2000의 NNTP 서비스가 대신 사용된다. 결과적으로 NNTP 서비스를 제공하는 Exchange 2000 서버는 Windows 2000용 patch를 적용해야 한다.
- Windows NT 4.0은 native NNTP 서비스를 제공하지 않기 때문에, Windows NT 4.0 Option Pack을 이용해서만이 설치될 수 있다.
- Windows 2000 Professional은 native NNTP 서비스를 지원하지 않는다.
- Windows 2000 server 제품들은 NNTP 서비스를 지원하지만, 기본 설치 시에는 지원되지 않는다.
이 취약점은 다행히 공격자가 시스템의 관리자권한을 획득하거나 시스템내의 정보를 변경시키는 등의 작업은 불가능하며, 단지 서비스거부공격만이 가능하다.
◆ 결함기종
Microsoft Windows NT 4.0
Microsoft Windows 2000
Microsoft Exchange 2000
◆ 해결책
시스템에 따라 아래의 패치를 적용한다.
- Wndows NT 4.0 Server와 Server, Enterprise Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31955
- Windows 2000 Server와 Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31925
- Microsoft Windows 2000 Datacenter Server:
Windows 2000 Datacenter Server에 대한 patch는 하드웨어에 종속적이므로 해당 장비제조사로부터 patch를 받아야 한다.
