요즘 Terminal Server 관리 자동화를 위해 VBS를 이용하고 있다. 거의 완전 초보 수준이라 몇개 Script를 이용해서 만들기는 하지만 Output에 대해서는 나름 만족하고 있다. 더 나은 로직으로 관리를 하신 분들도 분명히 계실것이라 생각된다.^^ (저의 블로그를 방문해 주시는 고수 분들의 많은 지적도 부탁드립니다)

 

참고 : http://www.microsoft.com/technet/scriptcenter/default.mspx

 

=======================

CPU & MEM 과점유 프로세스 Kill

=======================

 

strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Const ForAppending = 8
Const CONVERT_TO_LOCAL_TIME = True

Set dtmStart = CreateObject("WbemScripting.SWbemDateTime")
dtmStart.SetVarDate Now, CONVERT_TO_LOCAL_TIME

dtmRegular = dtmStart.GetVarDate(CONVERT_TO_LOCAL_TIME)

 

'Kill 하려는 프로세스 Name

Set colProcessList = objWMIService.ExecQuery _
    ("Select * from Win32_Process Where Name = '프로세스이름'")

For Each objProcess in colProcessList
    Wscript.Echo "Process: " & objProcess.Name & " ProcessID : " & objProcess.ProcessID
    dtmStartTime = objProcess.CreationDate
    strReturn = WMIDateStringToDate(dtmStartTime)
    Wscript.Echo strReturn
    Wscript.Echo "Working Set Size: " & objProcess.WorkingSetSize /1024 / 1024
    Wscript.Echo  "CPU Usage : " & CPUUSage(objProcess.ProcessID)


'CPU 사용시간 확인, 단위 : Second
    sngProcessTime = ( CSng(objProcess.KernelModeTime) + _
            CSng(objProcess.UserModeTime)) / 10000000

    timeFlag = DateDiff("h", strReturn, dtmRegular)
    Wscript.Echo "======================================================"

'CPU Time과 CPU사용률을 비교 – CPU 수행시간이 4시간이상 프로세스 중 사용률이 20% 이상, 메모리 사용률 2G 이상
    If   ((sngProcessTime > 18000 And CPUUSage(objProcess.ProcessId) > 20) Or objProcess.WorkingSetSize /1024/1024 > 2000  ) then
        Set objFSO = CreateObject("Scripting.FileSystemObject")
            Set objFile = objFSO.OpenTextFile("파일경로", ForAppending)

 

'Application 에서 teminate function을 사용할 경우 적용가능           
        'objProcess.Terminate()

 

'그렇지 않을 경우 CMD 명령어로 해당 프로세스 Kill
        Rem------------------------------------------------
          Set wshShell = WScript.CreateObject ("WSCript.shell")
          wshshell.run "cmd /c taskkill /f /pid " & objProcess.ProcessID      
       Set wshshell = nothing
          Rem -------------------------------------------------------------
        objFile.WriteLine now & " " & objProcess.Name & " ProcessTime:" & sngProcessTime  & " memory:" & objProcess.WorkingSetSize  /1024 /1024 & " ProcessID : " & objProcess.ProcessID & " CPU Usage : " & CPUUSage(objProcess.ProcessID)
        'objFile.WriteLine "cmd /c taskkill /f /pid " & objProcess.ProcessID
        objFile.Close
    End if

Next

 

'날짜 형식을 Date로 변경하는 Function

Function WMIDateStringToDate(dtmStart)
    WMIDateStringToDate = CDate(Mid(dtmStart, 5, 2) & "/" & _
        Mid(dtmStart, 7, 2) & "/" & Left(dtmStart, 4) _
            & " " & Mid (dtmStart, 9, 2) & ":" & _
                Mid(dtmStart, 11, 2) & ":" & Mid(dtmStart, _
                    13, 2))
End Function

 

'프로세스 사용량을 가져오는 Function

Function CPUUSage( ProcID )
        On Error Resume Next
            Set objService = GetObject("Winmgmts:{impersonationlevel=impersonate}!\Root\Cimv2")
      For Each objInstance1 in objService.ExecQuery("Select * from Win32_PerfRawData_PerfProc_Process where IDProcess = '" & ProcID & "'")
          N1 = objInstance1.PercentProcessorTime
          D1 = objInstance1.TimeStamp_Sys100NS
           Exit For
       Next
        WScript.Sleep(2000)

       For Each perf_instance2 in objService.ExecQuery("Select * from Win32_PerfRawData_PerfProc_Process where IDProcess = '" & ProcID & "'")
           N2 = perf_instance2.PercentProcessorTime
           D2 = perf_instance2.TimeStamp_Sys100NS
           Exit For
       Next

       ' CounterType - PERF_100NSEC_TIMER_INV
       ' Formula - (1- ((N2 - N1) / (D2 - D1))) x 100
        Nd = (N2 - N1)
        Dd = (D2-D1)
         PercentProcessorTime = ( (Nd/Dd))  * 100
      CPUUSage = Round(PercentProcessorTime ,0)
End Function

 

지금 위와 같은 Script를 실행할 경우 결과 파일은 TXT 파일 형태로 떨어지게 된다. 만약 해당 내용을 Event Log에 뿌리고 싶다면 Event Log를 뿌리는 것을 Function으로 작성하여 Script 내에 넣으면 된다.

 

=======================

Citrix 환경에서 특정 User Logoff

=======================

 

strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Const ForAppending = 8
Const CONVERT_TO_LOCAL_TIME = True

Set dtmStart = CreateObject("WbemScripting.SWbemDateTime")
dtmStart.SetVarDate Now, CONVERT_TO_LOCAL_TIME

dtmRegular = dtmStart.GetVarDate(CONVERT_TO_LOCAL_TIME)

Set colProcessList = objWMIService.ExecQuery _
    ("Select * from Win32_Process Where Name = '프로세스이름'")

For Each objProcess in colProcessList
    Wscript.Echo "Process: " & objProcess.Name & " ProcessID : " & objProcess.ProcessID & " SessionID : " & objProcess.SessionID
    dtmStartTime = objProcess.CreationDate
    Wscript.Echo "User List : " & UserList(objProcess.CSName, objProcess.SessionID) & " Session ID : " & objProcess.SessionID
    Wscript.Echo "CPU Usage :  " & CPUUSage(objProcess.ProcessId)
    Wscript.Echo "======================================================"
If   (CPUUSage(objProcess.ProcessId) >= 4) then
        Set objFSO = CreateObject("Scripting.FileSystemObject")
        Set objFile = objFSO.OpenTextFile("파일경로", ForAppending)

          Rem------------------------------------------------
          Set wshShell = WScript.CreateObject ("WSCript.shell")
          wshshell.run "cmd /c logoff " & objProcess.SessionID
          Set wshshell = Nothing
          Rem -------------------------------------------------------------
          Critical()
        objFile.WriteLine Now & " "  & "Process: " & objProcess.Name & " ProcessID : " & objProcess.ProcessID & " User List : " & UserList(objProcess.CSName, objProcess.SessionID) & " Session ID : " & objProcess.SessionID
        objFile.Close
    End if

Next

 

'날짜 형식을 Date로 변경하는 Function

Function WMIDateStringToDate(dtmStart)
    WMIDateStringToDate = CDate(Mid(dtmStart, 5, 2) & "/" & _
        Mid(dtmStart, 7, 2) & "/" & Left(dtmStart, 4) _
            & " " & Mid (dtmStart, 9, 2) & ":" & _
                Mid(dtmStart, 11, 2) & ":" & Mid(dtmStart, _
                    13, 2))
End Function

 

'프로세스 사용량을 가져오는 Function

Function CPUUSage( ProcID )
        On Error Resume Next
            Set objService = GetObject("Winmgmts:{impersonationlevel=impersonate}!\Root\Cimv2")
      For Each objInstance1 in objService.ExecQuery("Select * from Win32_PerfRawData_PerfProc_Process where IDProcess = '" & ProcID & "'")
          N1 = objInstance1.PercentProcessorTime
          D1 = objInstance1.TimeStamp_Sys100NS
           Exit For
       Next
        WScript.Sleep(20)

       For Each perf_instance2 in objService.ExecQuery("Select * from Win32_PerfRawData_PerfProc_Process where IDProcess = '" & ProcID & "'")
           N2 = perf_instance2.PercentProcessorTime
           D2 = perf_instance2.TimeStamp_Sys100NS
           Exit For
       Next

       ' CounterType - PERF_100NSEC_TIMER_INV
       ' Formula - (1- ((N2 - N1) / (D2 - D1))) x 100
        Nd = (N2 - N1)
        Dd = (D2-D1)
         PercentProcessorTime = ( (Nd/Dd))  * 100
      CPUUSage = Round(PercentProcessorTime ,0)
End Function

 

' User Name을 불러오는 Function

Function UserList(aServer, aSession)

On Error Resume Next
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\Citrix")
Set colItems = objWMIService.ExecQuery( "SELECT * FROM MetaFrame_Process where ServerName = '" & aServer & "' and SessionID = '" & aSession & "' and ProcessName = '프로세스이름'")

For Each objItem in colItems  
    username = objItem.UserName
Next

    UserList = username

End Function

 

' 수행결과를 Event Log로 뿌리는 Function

Function Critical()

    Const EVENT_SUCCESS = 2
    Set objShell = Wscript.CreateObject("Wscript.Shell")
    objShell.LogEvent EVENT_SUCCESS, _
    "User : " & UserList(objProcess.CSName, objProcess.SessionID) & " 정상적으로 Logoff 하였습니다."
End Function

 

프로세스 Kill Script 와 연관되어 작성한 User Logoff Script이다. Xen APP서버를 서비스 하는 경우 User에 대한 정보를 일반적인 OS상에 존재하는 WMI 값에서 가져올 수 없다. Xen APP은 RDP Session으로 접근하는것이 라는 ICA Session 자체로 표시되기 때문에 User Name값을 가져올 경우에는 Citrix WMI값을 이용하여 Function화 하면 쉽게 User Name을 가져올 수 있다.

또 아래부분을 보면 Event Log로 전달하는 부분이 Function을 참고하셔도 활용할 수 있는 범위가 많을 것이라 생각된다.

신고
Posted by hotpoto

Application 가상화보다는 주로 Desktop 가상화에 초점이 맞춰저 있는것 같다는 느낌을 받는다. UC환경을 위한 서버 및 스토리지 가상화에 대한 기술을 주로 언급하고 있고, 이에 맞추어 블로그 포스팅을 해야 할것 같다는 느낌을 받는다.

 

이제 첫번째 시간으로 Windows Virtulization Architecture 부분에 대한 내용을 다루어 보겠다.

 

[Windows Virtualization Architecture]

 

image

 

이전 방식은 Paravirtulization, 즉 Guest OS와 Hypervisor(Virtulization Layer) 사이에 성능 및 효율성을 향상하기 위해서 별도로 통신할 수 있는 채널이 필요하게 되었다. 즉, Hypervisor내에 Hypercall을 내장하여, 메모리 관리, 인터럽트 핸들링등과 같은 OS/Kernel 동작을 제공한다 Paravirtulization 기술은 Guest OS를 최적화 해야 하는 단점이 있다.

 

이러한 맹점을 해결하기 위해서 H/W업체들은 가상화 OS 프로세스에서 Privilege 명령어 처리를 가능하게 해주는 CPU, 즉 Intel VT, AMD-V와 Direct로 통신할 수 있는 기능을 구현하게 되었다. binary  Translation이라고 하는 가상화 기술이며, Virtulization Layer가 OS에서 지원하는 것이 아닌 H/W에서 지원하는 구조로 되어 있기 때문에 Virtual Machine이 어느정도 Isolation으로 동작할 수 있는 모델을 제시하게 되었다. Windows 2008에서 제공하는 기술도 바로 이와 같은 형태의 Hypervisor의 형태로 서비스를 제공하게 된다.

 

여기까지 간단하게 Virtulization에 대해 알아보았다. 그럼 과연 어떠한 방식으로 Virtulization 방식으로 서로간의 통신을 시도하는 것일까?

 

image

 

Physical Device인 Disk를 예를 들면 Core영역에서 VSP라는 Virtual Storage Provider라는 가상화된 Module에서 처리를 받는다. VSP는 서버 Component로서 I/O 요청에 대한 처리를 담당하는 부분이다. 이는 Virtual Machine간에 정보교환을 담당하는 VMBus를 통해 입출력 요청을 처리하게 되는데 Guest OS가 실행되며, Application이 실제 동작하는 Child Partitiondml VSC에서 정보를 전달하게 된다 VSC는 Virtulization Service Consumer로서 Server Component가 아닌 Client Component로서 User Mode에서 받은 요청사항을 바로 VSP에 전달하게 되는 역활을 한다.

[참고] Hypervisor에 대한 Architecture

image

신고
Posted by hotpoto

먼저 Test Machine에 KB963027 를 설치 후 Test를 진행하신 후 전체 배포를 검토하여 주시기를 부탁 드립니다.

Test 진행 후 이상현상이 발생한다면 가능하다면 KB963027 의 배포를 일정기간 연기 후 코드의 수정이 필요합니다.

세부 대응책이 마련된 후 다시 공지하여 드리겠습니다.

 

KB 963027 / MS09-014

http://support.microsoft.com/kb/KB963027

http://www.microsoft.com/technet/security/bulletin/MS09-014.mspx

 

[보고된 증상]

mshtml.dll 에서 오류가 발생하고 Internet Explorer가 비정상 종료됨

 

[환경]

Internet Explorer 6 sp2 & Internet Explorer 7

 

[원인]

특정 ActiveX Control이 Unload될 때 이미 메모리에서 제거된 Object을 다시 Access하려고 시도하기 때문에 오류가 발생합니다.  MS09-014 이전에는 ActiveX가 Unload될 때 Object가 완전히 제거 되지 않고 남아 있었기 때문에 오류가 발생하지 않았습니다. MS09-014에서는 ActiveX가 Unload될 때 Object가 완전히 제거되도록 수정하였고 이로 인해 문제가 발생합니다.

 

[현상 발생 시 대처방법]

이 문제가 발생하지 않도록 하려면 해당 웹 사이트에서 소스 수정이 필요합니다. 일반 사용자께서는 임시로 MS09-014를 제거하고 사용하시기 바랍니다.

 

[사례]

보안업데이트 설치 전의 mshtml.dll 에서는 freed된 object 에 대해 제대로 처리하지 못하는 코드 상의 문제가 있어, 이러한 오류를 제대로 감지하지 못하여 비정상 종료 문제가 없었던 것입니다.

MS09-014 설치 전에는, object 가 freed(mshtml!CElement::~CElement) 되었음에도 불구하고  object 의 일부 content 가 null로 처리되지 않고 메모리에 남아 있어 이후 다시 이 부분을 double freed 하더라도 오류 없이 처리가 되었습니다만, 이로 인해 이미 freed되었음에도 불구하고 메모리에 남아있는 정보를 이용할 수 있는 보안상의 취약점을 안고 있었던 경우입니다.

MS09-014에서는 이러한 문제를 확인하고 보안 취약점을 없애기 위해 , object가 freed될 때 content 를 완전히 cleanup 하도록 코드 수정하였으며 그래서, 해당 컨트롤에서 이미 freed object를 다시 freed하려고 시도하면, double freed 로 인해 비정상 종료가 되게 됩니다.

이 문제를 해결키 위해서는, 해당 컨트롤에서 double freed하지 않도록 코드 수정이 필요합니다.

신고
Posted by hotpoto

출처 : http://msdn.microsoft.com/en-us/library/cc768520.aspx

 

클라우드컴퓨팅 환경의 필수조건이라 생각되는 Virtualization 환경 구축, Server 및 Storage Consolidation, VDI, 등등…

올해 진행되야 하는 기술중에 가장 큰 축을 차지하고 있는 Solution들 같다. 이중 MS에서 후발주자로 야침차게 준비한 Hyper-V에 대한 기본적인 내용을 알아보려고 한다.

 

  • APIC – Advanced Programmable Interrupt Controller
  •               A device which allows priority levels to be assigned to its interrupt outputs.

  • Child Partition – Partition that hosts a guest operating system
  •                             All access to physical memory and devices by a child partition is provided via the Virtual Machine Bus

                               (VMBus) or the hypervisor.

  • Hypercall – Interface for communication with the hypervisor
  •                      The hypercall interface accommodates access to the optimizations provided by the hypervisor.

  • Hypervisor – A layer of software that sits between the hardware and one or more operating systems.
  •                        Its primary job is to provide isolated execution environments called partitions. The hypervisor controls and

                           arbitrates access to the underlying hardware.

  • IC – Integration component
  •           Component that allows child partitions to communication with other partitions and the hypervisor.

  • I/O stack – Input/output stack
  • MSR – Memory Service Routine
  • Root Partition – Manages machine-level functions such as device drivers, power management, and device hot
  •                            addition/removal. The root (or parent) partition is the only partition that has direct access to

                               physical memory and devices.

  • VID – Virtualization Infrastructure Driver
  •              Provides partition management services, virtual processor management services, and memory
                 management services for partitions.

  • VMBus – Channel-based communication mechanism used for inter-partition communication and device enumeration
  •                   on systems with multiple active virtualized partitions. The VMBus is installed with Hyper-V Integration Services.

  • VMMS – Virtual Machine Management Service – Responsible for managing the state of all virtual machines in child
  •                  partitions.

  • VMWP – Virtual Machine Worker Process – A user mode component of the virtualization stack. The worker process
  •                  provides virtual machine management services from the Windows Server 2008 instance in the parent partition to

                     the guest operating systems in the child partitions. The Virtual Machine Management Service spawns a separate

                     worker process for each running virtual machine.

  • VSC – Virtualization Service Client – A synthetic device instance that resides in a child partition. VSCs utilize hardware
  •              resources that are provided by Virtualization Service Providers (VSPs) in the parent partition. They communicate

                 with the corresponding VSPs in the parent partition over the VMBus to satisfy a child partitions device I/O requests.

  • VSP – Virtualization Service Provider – Resides in the root partition and provide synthetic device support to child
  •              partitions over the Virtual Machine Bus (VMBus).

  • WinHv – Windows Hypervisor Interface Library - WinHv is essentially a bridge between a partitioned operating system’s
  •                  drivers and the hypervisor which allows drivers to call the hypervisor using standard Windows calling conventions

  • WMI – The Virtual Machine Management Service exposes a set of Windows Management Instrumentation (WMI)-based
  •               APIs for managing and controlling virtual machines.

     

    Windows 2008 64Bit에서 제공되는 Hyper-V의 기본적 Architecture는 위의 내용과 같다. 즉, 64Bit Machine이 반드시 필요하며, 4개의 Guest OS를 무료로 제공하기 때문에 사용량이 낮은 Box를 Hosting 통합할 때 유용하게 사용될 수 있다.

     

    [필요 H/W 사양] – 64Bit 지원되면 OK!

    반드시 64bit Machine이 지원되는 H/W BOX여야 한다. 64 Bit 지원은 Intel-VT, AMD-V 기술이 적용되어 있으면 설치가 가능한 장비가 되며, 단순히 테스트를 위한 용도라면 DL380, PE2950과 같은 장비면 충분할것이라 판단되며, 실제 운영을 생각한다면 앞에 말한 장비는 IO Slot의 제약을 받기 때문에 DL580, PE6850 이상급의 4Way 장비에 구축을 하는게 적절할 것이 생각된다.

    정리해보면 CPU : 64Bit  지원이 가능한것, MEM : 최소 8G이상 (Windows 2008 의 경우 기본적으로 2G이상을 권고하기 때문에 적어도 테스트를 위해서라면 8G 이상은 되야 할것 같다), 메모리와 같은 경우 테스트 범위나 운영범위에서 결정되어야 하는 부분이기 때문에 목적에 따라 변화는 값이라 여기서 논하기에는 큰 의미가 없다고 생각된다.

     

    [정말 Hyper-V 무료?]

    기본적은 Windows 2008 64Bit를 이용하면 역할 추가를 통해 Hyper-V를 구현할 수 있다. 그렇기 때문에 무료로 제공되는 기능이 맞다고 볼수 있다. 단순히 파일서버 구축이나, MS Pakage로 된 단순 서버를 구축할때는 분명 이점이 있을 것이라 생각은 된다. 그러나 실제 운영서버에 올리기 위해서는 별도의 관리 Tool을 구매해야 한다. 즉, SCVMM이란 Tool을 구매해야 한다.

    SCVMM을 이용하면 Virtual Server에 대한 이미지를 관리할 수 있으며, P2V, V2V와 같은 Consolidation에 대한 준비도 쉽게 진행할 수 있기 때문에 실제 운영을 위해서는 반드시 구매되어야 하는 패키지와 같은 느낌이 든다.

     

    단일서비스 구축을 위해서 Hyper-V를 사용한다면 별도의 AD구축이 필요없다. 그러나 SCVMM을 이용하기 위해서는 반드시

    AD를 구축해야 하며, 심지어 관리 SCVMM Console을 이용하기 위해 자신의 PC에 기능을 설치하려고 한다면, 해당 Client도 반드시 AD에 Join되어 있어야 한다. 즉, AD가 없는 환경이라면 AD구축또한 진행이 반드시 필요하다.

     

    [Live P2V, V2V]

    이번 내용은 Hyper-V에 대한 내용 임으로 타 vendor에 대한 비교는 생략하려고 한다. 실제로 P2V를 테스트로 수행해보았더니 시간도 적당하게 걸리면서 깔끔하게 Porting 되는것을 확인했다. 한가지 주의할 점은 P2V를 사용할 때 Physical Machine의 정보를 전달하기 위해 BITS(Backgroupd Intelligent Transfer Service) & SSL 을 이용하게 된다. IIS를 사용하고 있는 서버에서 Port충도로로 VM관리 및 P2V가 오류나는 경우도 있다. (이부분에 대해서는 향후 P2V 부분을 다룰때 언급할 예정) 또 한가지 중요한 사실이 Windwos 2003 SP2 이상의 경우에만 P2V가 가능하다는고 알고 있었는데....^^ 덧글에 달린 위시님의 말씀으로 " P2V는 윈도우2000 SP4 부터 정상적으로 됩니다. 단 윈도우2003이후는 온라인P2V가 되지만 윈도우2000 SP4는 오프라인P2V 를 통해 가능합니다. 즉 SCVMM 에이전트를 push한 이후 윈도우2000 sp4는 Win PE이미지부팅을 통해 P2V를 이행하게 됩니다.." 라고 지적해 주셨습니다...^^ 짧은 테스트로 글을 섰더니 잘못된 내용이 들어갔네요.^^Consolidation의 경우 예전에 구축된 단일 서버에 대한 통합을 목적으로 하는 경우가 많은데 In-House 개발된 Pakage나 Non-MS 제품의 Application이 운영되는 P2V에 대해서 얼마나 지원이 가능할지는 좀더 테스트를 해봐야 알 수 있을것 같다.

    신고
    Posted by hotpoto

    출처 : 국가사이버안전센터

     

    ■ 개 요
    MS社는 4월 15일 MS 윈도우 및 Office 등에서 시스템 장악 등 해킹에 악용 가능한 보안취약점 8건(긴급 5, 중요 2, 보통 1)을 발표하였는 바, 각급기관은 해당 시스템에 대한 MS社의 보안 업데이트를 조속히 설치하시기 바랍니다.
    * 특히 이번에는 지난해 12월 및 금년 2월에 공개되어 해킹에 악용중이던 MS 엑셀, 워드패드의 취약점에 대한 업데이트가 포함되어 있으므로 신속한 패치 적용을 권고합니다.
    * 한편, 지난 4.3 공개된 MS 파워포인트의 취약점에 대한 업데이트는 포함되지 않음에 따라 "외부로부터 입수한 파워포인트 파일에 대해 작성자 확인후에 열람" 등 유의하여 주시기 바랍니다.
    ________________________________________

    ■ 보안 업데이트에 포함된 취약점 및 관련 사이트

    1. MS 엑셀 취약점으로 인한 원격코드 실행 문제점(긴급, 968557)

    o 설 명
    MS 엑셀에서 엑셀 문서를 열람하는 과정에 원격코드 실행 취약점이 존재하여 공격자는 조작된 엑셀 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.
    o 관련 취약점
      - Memory Corruption Vulnerability(CVE-2009-0100)
      - Memory Corruption Vulnerability(CVE-2009-0238)

    o 영향받는 소프트웨어
      - Microsoft Office 2000 SP3
      - Microsoft Office XP SP3
      - Microsoft Office 2003 SP3
      - 2007 Microsoft Office System SP1
      - Microsoft Office Excel Viewer
      - Microsoft Office Excel Viewer 2003 SP3
      - Microsoft Office Compatibility Pack for Word, Excel, PowerPoint 2007 File Formats SP1
      - Microsoft Office 2004 for Mac
      - Microsoft Office 2008 for Mac
    o 영향받지 않는 소프트웨어
      - Microsoft Works 8.5, 9.0
      - Microsoft Works Suite 2005, 2006
      - OpenXML File Format Converter for Mac
      - Microsoft Office File Converter Pack
      - Microsoft Office SharePoint Server 2003 SP3
      - Microsoft Office SharePoint Server 2007, SP1 (32-bit editions)
      - Microsoft Office SharePoint Server 2007, SP1 (64-bit editions)
    o 관련사이트
    → 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-009.mspx
    → 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-009.mspx
    2. 워드패드 및 MS Office 텍스트 변환기 취약점으로 인한 원격코드 실행 문제점(긴급, 960477)

    o 설 명
    워드패드 및 MS Office에서 워드 파일 열람시 원격코드 실행 취약점이 존재하여 공격자는 조작된 워드 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.
    o 관련 취약점
      - WordPad and Office Text Converter Memory Corruption Vulnerability(CVE-2009-0087)
      - WordPad Word 97 Text Converter Stack Overflow Vulnerability(CVE-2008-4841)
      - Word 2000 WordPerfect 6.x Converter Stack Overflow Vulnerability(CVE-2009-0088)
      - WordPad Word97 Text Converter Stack Overflow Vulnerability(CVE-2009-0235)

    o 영향받는 소프트웨어
      - MMicrosoft Windows 2000 SP4
      - Microsoft Windows XP SP2, SP3
      - Microsoft Windows XP Professional x64 Edition, SP2
      - Microsoft Windows Server 2003 SP1, SP2
      - Microsoft Windows Server 2003 x64 Edition, SP2
      - Microsoft Windows Server 2003 with SP1, SP2 for Itanium-based Systems
      - Microsoft Office 2000 SP3
      - Microsoft Office XP SP3
      - Microsoft Office Converter Pack
    o 영향받지 않는 소프트웨어
      - Microsoft Windows Vista, SP1
      - Microsoft Windows Vista x64 Edition, SP1
      - Microsoft Windows Server 2008 for 32-bit Systems
      - Microsoft Windows Server 2008 for x64-based Systems
      - Microsoft Windows Server 2008 for Itanium-based Systems
      - Microsoft Office Word 2003 SP3
      - Microsoft Office Word 2007 SP1
      - Microsoft Office Word Viewer
      - Microsoft Office Word Viewer 2003 SP3
      - Microsoft Office Compatibility Pack for Word, Excel, PowerPoint 2007 File Formats SP1
      - Microsoft Office 2004 for Mac
      - Microsoft Office 2008 for Mac
      - OpenXML File Format Converter for Mac
      - Microsoft Works 8.0, 8.5, 9.0
      - Microsoft Works Suite 2006
    o 관련사이트
    → 영문 : http://www.microsoft.com/technet/security/bulletin/MS09-010.mspx
    → 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-010.mspx
    3. Microsoft DirectShow 취약점으로 인한 원격코드 실행 문제점(긴급, 961373)

    o 설 명
    MS DirectShow에서 MJPEG 파일 열람시 원격코드 실행 취약점이 존재하여 공격자는 조작된 MJPEG 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.

    * MJPEG(Motion JPEG) : 스틸 사진(JPEG 이미지)을 압축시켜 동영상을 만드는데 사용하는 포맷

    o 관련 취약점
      - MJPEG Decompression Vulnerability(CVE-2009-0084)

    o 영향받는 소프트웨어
      - DirectX 8.1, 9.0 on Windows 2000 SP4
      - DirectX 9.0 on Windows XP SP2, SP3
      - DirectX 9.0 on Windows XP Professional x64 Edition, SP2
      - DirectX 9.0 on Windows Server 2003 SP1, SP2
      - DirectX 9.0 on Windows Server 2003 x64 Edition, SP2
      - DirectX 9.0 on Windows Server 2003 SP1, SP2 for Itanium-based Systems
    o 영향받지 않는 소프트웨어
      - Microsoft Windows Vista, SP1
      - Microsoft Windows Vista x64 Edition, SP1
      - Microsoft Windows Server 2008 for 32-bit Systems
      - Microsoft Windows Server 2008 for x64-based Systems
      - Microsoft Windows Server 2008 for Itanium-based Systems
    o 관련사이트
    → 영문 : http://www.microsoft.com/technet/security/bulletin/MS09-011.mspx
    → 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-011.mspx
    4. MS 윈도우 취약점으로 인한 권한 상승 문제점(중요, 959454)

    o 설 명
    MS 윈도우에서 네트워크 서비스 및 로컬 서비스 계정을 처리하는 과정에 권한 상승 취약점이 존재하여 공격자는 해당 취약점을 공격, 취약한 시스템에 대해 완전한 권한을 획득할 수 있다.

    o 관련 취약점
      - Windows MSDTC Service Isolation Vulnerability(CVE-2008-1436)
      - Windows WMI Service Isolation Vulnerability(CVE-2009-0078)
      - Windows RPCSS Service Isolation Vulnerability(CVE-2009-0079)
      - Windows Thread Pool ACL Weakness Vulnerability(CVE-2009-0080)
    o 영향받는 소프트웨어
      - Microsoft Windows 2000 SP4
      - Microsoft Windows XP SP2, SP3
      - Microsoft Windows XP Professional x64 Edition, SP2
      - Microsoft Windows Server 2003 SP1, SP2
      - Microsoft Windows Server 2003 x64 Edition, SP2
      - Microsoft Windows Server 2003 for Itanium-based Systems SP1, SP2
      - Microsoft Windows Vista, SP1
      - Microsoft Windows Vista x64 Edition, SP1
      - Microsoft Windows Server 2008 for 32-bit Systems
      - Microsoft Windows Server 2008 for x64-based Systems
      - Microsoft Windows Server 2008 for Itanium-based Systems
    o 관련사이트
    → 영문 : http://www.microsoft.com/technet/security/bulletin/MS09-012.mspx
    → 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-012.mspx
    5. MS 윈도우 HTTP 서비스 취약점으로 인한 원격코드 실행 문제점(긴급, 960803)

    o 설 명
    MS 윈도우의 HTTP 서비스에 원격코드 실행 취약점이 존재하여 공격자는 해당 취약점을 이용한 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.

    o 관련 취약점
      - Windows HTTP Services Integer Underflow Vulnerability(CVE-2009-0086)
      - Windows HTTP Services Certificate Name Mismatch Vulnerability(CVE-2009-0089)
      - Windows HTTP Services Credential Reflection Vulnerability(CVE-2009-0550)

    o 영향받는 소프트웨어
      - Microsoft Windows 2000 SP4
      - Microsoft Windows XP SP2, SP3
      - Microsoft Windows XP Professional x64 Edition, SP2
      - Microsoft Windows Server 2003 SP1, SP2
      - Microsoft Windows Server 2003 x64 Edition, SP2
      - Microsoft Windows Server 2003 for Itanium-based Systems SP1, SP2
      - Microsoft Windows Vista, SP1
      - Microsoft Windows Vista x64 Edition, SP1
      - Microsoft Windows Server 2008 for 32-bit Systems
      - Microsoft Windows Server 2008 for x64-based Systems
      - Microsoft Windows Server 2008 for Itanium-based Systems
    o 관련사이트
    → 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-013.mspx
    → 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-013.mspx
    6. Internet Explorer 누적 보안업데이트(긴급, 963027)

    o 설 명
    Internet Explorer에 원격코드 실행 취약점이 존재하여 공격자는 해당 취약점을 이용한 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하여 취약시스템에 대해 완전한 권한 획득이 가능하다.

    o 관련 취약점
      - Blended Threat Remote Code Execution Vulnerability(CVE-2008-2540)
      - WinINet Credential Reflection Vulnerability(CVE-2009-0550)
      - Page Transition Memory Corruption Vulnerability(CVE-2009-0551)
      - Uninitialized Memory Corruption Vulnerability(CVE-2009-0552)
      - Uninitialized Memory Corruption Vulnerability(CVE-2009-0553)
      - Uninitialized Memory Corruption Vulnerability(CVE-2009-0554)

    o 영향받는 소프트웨어
      - Internet Explorer 5.01 SP4 for Microsoft Windows 2000 SP4
      - Internet Explorer 6.0 SP1 for Microsoft Windows 2000 SP4
      - Internet Explorer 6 for Microsoft Windows XP SP2, SP3
      - Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition, SP2
      - Internet Explorer 6 for Microsoft Windows Server 2003 SP1, SP2
      - Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition, SP2
      - Internet Explorer 6 for Microsoft Windows Server 2003 SP1, SP2 for Itanium-based Systems
      - Internet Explorer 7 for Microsoft Windows XP SP2, SP3
      - Internet Explorer 7 for Microsoft Windows XP Professional x64 Edition, SP2
      - Internet Explorer 7 for Microsoft Windows Server 2003 SP1, SP2
      - Internet Explorer 7 for Microsoft Windows Server 2003 SP1, SP2 for Itanium-based Systems
      - Internet Explorer 7 for Microsoft Windows Server 2003 x64 Edition, SP2
      - Internet Explorer 7 for Microsoft Windows Vista, SP1
      - Internet Explorer 7 for Microsoft Windows Vista x64 Edition, SP1
      - Internet Explorer 7 for Microsoft Windows Server 2008
      - Internet Explorer 7 for Microsoft Windows Server 2008 x64 Edition
      - Internet Explorer 7 for Microsoft Windows Server 2008 for Itanium-based Systems
    o 영향받지 않는 소프트웨어
      - Internet Explorer 8 for Microsoft Windows XP SP2, SP3
      - Internet Explorer 8 for Microsoft Windows XP Professional x64 Edition, SP2
      - Internet Explorer 8 for Microsoft Windows Server 2003 SP1, SP2
      - Internet Explorer 8 for Microsoft Windows Server 2003 x64 Edition, SP2
      - Internet Explorer 8 for Microsoft Windows Server 2003 SP1, SP2 for Itanium-based Systems
      - Internet Explorer 8 for Microsoft Windows Vista, SP1
      - Internet Explorer 8 for Microsoft Windows Vista x64 Edition, SP1
      - Internet Explorer 8 for Microsoft Windows Server 2008
      - Internet Explorer 8 for Microsoft Windows Server 2008 x64 Edition
      - Internet Explorer 8 for Microsoft Windows Server 2008 for Itanium-based Systems
    o 관련사이트
    → 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-014.mspx
    → 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-014.mspx
    7. SearchPath의 혼합 보안위협 취약점으로 인한 권한 상승 문제점(보통, 959426)

    o 설 명
    MS 윈도우의 SearchPath 기능에 권한 상승 문제점이 존재하여 공격자는 특수하게 조작된 파일이 포함된 악의적인 웹페이지를 구축한 후 사용자의 방문을 유도하거나 이메일 첨부파일을 열어보도록 유도하여 취약한 시스템에 접근할 수 있는 권한을 획득할 수 있다.

    * SearchPath : 지정된 경로에서 특정 파일을 검색하는 기능을 제공하는 프로그래밍 인터페이스

    o 관련 취약점
      - Blended Threat Elevation of Privilege Vulnerability(CVE-2008-2540)

    o 영향받는 소프트웨어
      - Microsoft Windows 2000 SP4
      - Microsoft Windows XP SP2, SP3
      - Microsoft Windows XP Professional x64 Edition, SP2
      - Microsoft Windows Server 2003 SP1, SP2
      - Microsoft Windows Server 2003 x64 Edition, SP2
      - Microsoft Windows Server 2003 for Itanium-based Systems SP1, SP2
      - Microsoft Windows Vista, SP1
      - Microsoft Windows Vista x64 Edition, SP1
      - Microsoft Windows Server 2008 for 32-bit Systems
      - Microsoft Windows Server 2008 for x64-based Systems
      - Microsoft Windows Server 2008 for Itanium-based Systems
    o 관련사이트
    → 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-015.mspx
    → 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-015.mspx
    8. MS ISA 서버 및 Forefront Threat Management Gateway(Medium Business Edition)의 서비스 거부 취약점(중요, 961759)

    o 설 명
    MS ISA 및 Forefront Threat Management Gateway(Medium Business Edition)에 서비스 거부 취약점이 존재하여 공격자는 해당 취약점을 공격, 취약한 시스템의 기능을 마비시킬 수 있다.

    * Forefront Threat Management Gateway : MS사의 통합위협관리 제품
    * ISA(Internet Security and Acceleration Server) : 서버 기반의 MS 윈도우에 기업용 방화벽과 고성능 웹 캐시를 통합 제공하는 솔루션

    o 관련 취약점
      - Web Proxy TCP State Limited Denial of Service Vulnerability(CVE-2009-0077)
      - Cross-Site Scripting Vulnerability(CVE-2009-0237)

    o 영향받는 소프트웨어
      - Microsoft Forefront Threat Management Gateway, Medium Business Edition
      - Microsoft Internet Security and Acceleration Server 2004 Standard Edition SP3
      - Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition SP3
      - Microsoft Internet Security and Acceleration Server 2006
      - Microsoft Internet Security and Acceleration Server 2006 Supportability Update
      - Microsoft Internet Security and Acceleration Server 2006 SP1
    o 영향받지 않는 소프트웨어
      - Microsoft Internet Security and Acceleration Server 2000 SP2
    o 관련사이트
    → 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-016.mspx
    → 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-016.mspx

    ________________________________________

    신고
    Posted by hotpoto

    티스토리 툴바