Nessus 4 출시

커스텀 XSLT를 적용해서 스캔 결과를 볼 수 있게 해놓은걸 가장 주목할만한 기능 추가로 꼽고 있군요. 저도 예전에 XSLT 따로 만들어서 HTML로 결과를 출력했던 기억이 있는데 사람들이 이 기능을 많이 요구한건가 싶네요. 전반적으로 윈도우와 유닉스 기반 양쪽에서 동일하게 움직이도록 한 것을 강조하고 있네요. 커맨드 라인 명령도 윈도우에서 다 돌아간다고 하고.

엔진은 멀티스레드 기반으로 개선했다고 하고, TCP SYN 포트 스캐너는 완전히 재작성했다고 합니다. NASL 쪽은 PCRE 지원이 추가되었고, PCI-DSS 플러그인으로 컴플라이언스 준수 여부를 점검할 수 있게 한 것이 주요 변경 사항으로 보입니다.

Wireshark 1.0.7 출시

아래 보안 취약점을 포함하여 다수의 버그를 패치했다고 합니다. (권고문 wnpa-sec-2009-02)

• CVE-2009-1210 - PROFINET 프로토콜 파서의 포맷 스트링 오버플로우 취약점. 0.99.6 ~ 1.0.6
• CVE-2009-1267 - 윈도우 환경에서 LDAP 프로토콜 파서의 충돌 발생 가능. 0.99.2 ~ 1.0.6
• CVE-2009-1268 - CPHAP 프로토콜 파서 충돌 발생 가능. 0.9.6 ~ 1.0.6
• CVE-2009-1269 - Tektronix .rf5 파일을 읽어들일 때 충돌 발생 가능. 0.99.6 ~ 1.0.6

Snort 2.8.4 출시

스노트를 사용하고 계신다면, 아마도 반드시 이번 업그레이드를 진행하셔야 될 것입니다. 2.8.4로 가면서 이전에 쓰이던 DCERPC 전처리기 대신 DCERPC2를 만들었는데, 앞으로 나오는 NetBIOS 룰은 하위 호환이 안 되고 DCERPC2에서만 동작한다고 하기 때문입니다.

DCERPC2가 나오게 된 계기는 이렇습니다. 지금까지는 룰을 이용해서 직접 NetBIOS 흐름 추적을 했었는데, 이렇게 룰에 일일이 박아넣으려면 익스플로잇 하나에 수백개 씩 룰을 작성해야 했습니다. 가령 Conficker가 공격하는 MS08-067 취약점의 경우 168개의 룰이 필요했다고 합니다. 룰 작성이 너무 삽질인 나머지 누군가는 룰 자동 생성기를 만들어서 썼다고 하는군요.

새로운 엔진은 상태 정보를 내부적으로 다 처리해주기 때문에 168개의 룰 대신 이제 2개의 룰만 있으면 된다고 합니다. 예전 룰 파일 줄 수가 5828이었다면 지금은 122까지 줄어들었으니 아주 큰 폭으로 룰 갯수를 줄인 것이지요. DCERPC2의 상세한 기능은 README.dcerpc2를 참고하세요.