2011년 2월 25일 금요일

PerfDisk / ID: 1000

Disk 성능 개체를 열 수 없습니다. 이벤트 뷰어의 데이터 영역의 처음 4바이트(DWORD)는 상태 코드입니다.

2011년 2월 11일 금요일

Storage Agents / ID: 1216

Drive Array Physical Drive Status Change. The physical drive in Slot 0, Port 1I Box 1 Bay 2 with serial number "9SF1CWZ9 ", has a new status of 4.
(Drive status values: 1=other, 2=ok, 3=failed, 4=predictiveFailure, 5=erasing, 6=eraseDone, 7=eraseQueued)
[SNMP TRAP: 3046 in CPQIDA.MIB]

Cissesrv / ID: 24596

The SATA physical drive located in bay 2 is in a SMART predictive failure state. This drive can be found in box 1 which is connected to port 1I of the array
controller P410i [Embedded]

2011년 2월 10일 목요일

2011년 02월 Microsoft 보안 공지

IIS(인터넷 정보 서비스) FTP 서비스의 취약점으로 인한 원격 코드 실행 문제점(2489256)
http://www.microsoft.com/korea/technet/security/bulletin/ms11-004.mspx

이 보안 업데이트는 Microsoft IIS(인터넷 정보 서비스) FTP 서비스의 공개된 취약점을 해결합니다. 이 취약점으로 인해 FTP 서버가 특수하게 조작된 FTP 명령을 받을 경우 원격 코드 실행이 허용될 수 있습니다. FTP 서비스는 IIS에 기본적으로 설치되지 않습니다.


Active Directory의 취약점으로 인한 서비스 거부 문제점(2478953)
http://www.microsoft.com/korea/technet/security/bulletin/ms11-005.mspx

이 보안 업데이트는 Active Directory의 공개된 취약점을 해결합니다.
이 취약점으로 인해 공격자가 영향을 받는 Active Directory 서버에 특수하게 조작된 패킷을 보낼 경우 서비스 거부가 발생할 수 있습니다. 공격자는 이 취약점을 악용하기 위해 도메인에 가입된 컴퓨터의 유효한 로컬 관리자 권한이 있어야 합니다.


Windows 셸 그래픽 처리의 취약점으로 인한 원격 코드 실행 문제점(2483185)
http://www.microsoft.com/korea/technet/security/bulletin/ms11-006.mspx

보안 업데이트는 Windows 셸 그래픽 프로세서의 공개된 취약점을 해결합니다.
이 취약점은 사용자가 특수하게 조작된 축소판 그림을 볼 경우 원격 코드 실행을 허용할 수 있습니다. 취약점 악용에 성공한 공격자는 로그온 한 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.


JScript 및 VBScript 스크립팅 엔진의 취약점으로 인한 정보 유출 문제점(2475792)
http://www.microsoft.com/korea/technet/security/bulletin/ms11-009.mspx

이 보안 업데이트는 비공개적으로 보고된 JScript 및 VBScript 스크립팅 엔진의 취약점을 해결합니다. 이 취약점으로 인해 사용자가 특수하게 조작된 웹 사이트를 방문할 경우 정보 유출이 발생할 수 있습니다. 공격자는 강제로 사용자가 이러한 웹 사이트를 방문하도록 만들 수 없습니다.
대신 공격자는 사용자가 전자 메일 메시지 또는 메신저 메시지의 링크를 클릭하여 공격자의 웹 사이트를 방문하도록 유도하는 것이 일반적입니다.


Windows CSRSS(Client/Server Runtime Subsystem)의 취약점으로 인한 권한 상승 문제점(2476687)
http://www.microsoft.com/korea/technet/security/bulletin/ms11-010.mspx

이 보안 업데이트는 Windows XP 및 Windows Server 2003의 CSRSS(Microsoft Windows Client/Server Run-time Subsystem)에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다.
이 취약점으로 인해 공격자가 이후 사용자의 로그온 자격 증명을 얻기 위해 시스템에 로그 온하여 공격자가 로그 오프 한 후에도 계속 실행되도록 특수하게 조작된 응용 프로그램을 시작할 경우 권한 상승이 발생할 수 있습니다.
이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그 온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.


Windows 커널의 취약점으로 인한 권한 상승 문제점(2393802)
http://www.microsoft.com/korea/technet/security/bulletin/ms11-011.mspx

이 보안 업데이트는 Microsoft Windows의 공개된 취약점 1건과 비공개적으로 보고된 취약점 1건을 해결합니다. 이 취약점으로 인해 공격자가 시스템에 로컬로 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그 온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.

 
Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점(2479628)
http://www.microsoft.com/korea/technet/security/bulletin/ms11-012.mspx

이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 5건을 해결합니다. 이 취약점으로 인해 공격자가 시스템에 로컬로 특수하게 조작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온 할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.


Kerberos의 취약점으로 인한 권한 상승 문제점(2496930)
http://www.microsoft.com/korea/technet/security/bulletin/ms11-013.mspx

이 보안 업데이트는 Microsoft Windows의 비공개적으로 보고된 취약점 1건과 공개적으로 보고된 취약점 1건을 해결합니다.
인증된 로컬 공격자가 도메인에 가입된 컴퓨터에 악성 서비스를 설치하면 가장 위험한 취약점으로 인해 권한 상승이 허용될 수 있습니다.


로컬 보안 기관 하위 시스템 서비스의 취약점으로 인한 로컬 권한 상승 문제점(2478960)
http://www.microsoft.com/korea/technet/security/bulletin/ms11-014.mspx

이 보안 업데이트는 Windows XP 및 Windows Server 2003의 LSASS(로컬 보안 기관 하위 시스템 서비스)에서 발견되어 비공개적으로 보고된 취약점 1건을 해결합니다.
공격자가 시스템에 로그온하고 특수하게 조작된 응용 프로그램을 실행할 경우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그 온할 수 있어야 합니다. 익명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.


2011년 2월 9일 수요일

wmiprvse.exe ole32.dll 메모리 누수

Windows Server 2008 R2(Windows 7) 에서 발생하는 문제로, WMI 서비스 프로세스의 메모리 누수 문제입니다.

WmiPrvSE.exe 가 NETWORK SERVICE 계정으로 실행되는 프로세스로 시작후 지속적으로 증가하여 시스템 가용 메모리 소모후 비정상 종료되는 현상으로, 이미 잘알려진 현상입니다.

오류 있는 응용 프로그램 이름: wmiprvse.exe, 버전: 6.1.7600.16385, 타임스탬프: 0x4a5bc794
오류 있는 모듈 이름: ole32.dll, 버전: 6.1.7600.16624, 타임스탬프: 0x4c2984e3
예외 코드: 0xc0000005
오류 오프셋: 0x00000000000393a9
오류 있는 프로세스 ID: 0xdfc
오류 있는 응용 프로그램 시작 시간: 0x01cbc779e8fc096a
오류 있는 응용 프로그램 경로: C:\Windows\system32\wbem\wmiprvse.exe
오류 있는 모듈 경로: C:\Windows\system32\ole32.dll
보고서 ID: a95f95fa-33f2-11e0-9823-001f29e8399e

일반적으로 서버등의 운영시 당장 큰 문제는 없을것으로 생각됩니다만,. 관련된 서비스 및 응용프로그램에서 문제가 있다면 임시 방편으로 다음 패치를 적용해 보는 것도 괜찮을 것 같습니다.

http://support.microsoft.com/kb/981314

현재 버젼 : cimwin32.dll 6.1.7600.16385
수정 바젼 : cimwin32.dll 6.1.7600.20683

곧 배포할 다음 서비스팩에 포함될것 같기는 한데,.
정식 릴리즈 서비스팩을 적용해 본후 상태를 지켜 보는 것도 괜찮아 보입니다.


2019년 12월 MS 취약점 패치 주요 사항

서버 관련 주요 중요 취약점 CVE-2019-1470 | Hyper-V 정보 유출 취약성 https://portal.msrc.microsoft.com/ko-KR/security-guidance/advisory/CVE-2019-1470 CVE...