아이디/패스워드 기억
최근사진
Total : 64,718
Yesterday : 14
Today : 64

공개 웹 게시판 제로보드 취약점 패치 권고

ino | 2006.04.02 18:22 | 조회 3438
□ 개요
o 최근 국내 PHP 기반의 공개 웹 게시판 제로보드에 대한 보안 취약점이 발견됨.
o 낮은 버전의 제로보드 사용으로 인한, 홈페이지 변조 사고가 빈번히 발생하므로 사용자의 주의 및
패치가 권고됨.

□ 영향
o 원격의 악의적 사용자가 취약한 웹 게시판을 이용하는 피해자 시스템에 악성코드를 설치하거나,
자신 포함한 특정 사용자의 권한을 게시판 관리자 권한으로 상승할 수 있음.
o 해당 취약점을 응용하여 피해자 시스템에 임의의 명령을 실행할 수 있음.

□ 해당시스템
o 제로보드 4.1 pl7 및 이전버전

□ 설명
o 회원 간의 쪽지 교환 시 악의적으로 작성된 HTML 태그를 제로보드가 적절히 필터링하지 않음.
(※ 쪽지 : 제로보드에서 지원하는 기능으로 회원 간의 간단한 메시지를 교환하기 위해 사용)
o 악의적으로 작성된 쪽지를 받은 회원이 쪽지함 열람 시, 의도되지 않은 스크립트가 회원의 컴퓨터에서 실행됨.
o 악의적 사용자는 이를 이용하여 악의적 쪽지를 일반사용자 혹은 관리자에게 보내고 쪽지함을 열도록 유도하여,
다음과 같은 행동을 할 수 있음.
- 게시판 사용자들에게 악성코드를 유포할 수 있음
- 게시판 관리자 권한의 명령(예. 특정 사용자에 대해 관리자 권한 부여)을 실행할 수 있음
- 제로보드가 실행되는 대상시스템에 웹 서버 권한으로 임의의 명령을 실행할 수 있음
(※ php.ini 파일의 allow_url_fopen이 On으로 셋팅된 경우)

□ 해결방안
o 영향 받는 시스템 관리자는 다음 방법으로 업그레이드함.
- 참고사이트[2]를 참고하여 "제로보드 4.1 pl8"을 다운로드하여 설치.

o php.ini의 설정 중, allow_url_fopen 옵션을 Off로 설정.

□ 참고사이트
[1] http://www.inetcop.org/net_bug/view.php?number=42
[2] http://www.nzeo.com/bbs/zboard.php?id=cgi_download2

* ino님에 의해서 게시물 이동되었습니다 (2006-04-02 19:39)
twitter facebook me2day 요즘
110개(1/6페이지)
보안
번호 제목 글쓴이 조회 날짜
110 공유기별 기본 패스워드 및 포트포워딩 위치. 몰라맨 83 2016.07.25 09:58
109 usb 사용흔적제거에 강력한 유틸 몰라맨 70 2014.03.14 21:33
108 Adobe Flash Player/Reader/Acrobat 신규 취약점 몰라맨 127 2011.03.21 10:10
107 제로보드 보안 패치 pl9 첨부파일 ino 354 2009.02.10 18:45
106 [일반] Google's new Web browser (Chrome) allows ino 373 2008.09.05 09:47
105 [일반] 해킹의 표적 -가상 메모리 파일(Pagefile.sys)을 윈도우 종료시 ino 539 2008.02.19 13:25
104 [일반] 시스템 분석 - 추적 비밀글 ino 5 2008.02.05 16:16
103 [일반] Updated sendmail packages fix security i ino 1055 2006.04.18 10:37
>> [일반] 공개 웹 게시판 제로보드 취약점 패치 권고 ino 3439 2006.04.02 18:22
101 [일반] Microsoft Windows WMF/EMF File Handling ino 1156 2005.11.17 11:13
100 [일반] openssl 보안 업데이트 ino 1136 2005.10.17 21:19
99 [일반] Linux Kernel Local Denial of Service and ino 1137 2005.10.11 23:29
98 [일반] Kaspersky Anti-Virus Products Remote Hea ino 968 2005.10.04 15:20
97 [일반] ProZilla "ftpsearch" Option Client-Side ino 1008 2005.10.03 18:40
96 [일반] Updated kernel packages fix security iss ino 2277 2005.06.19 17:43
95 [일반] MySQL MaxDB Webtool Remote Stack Overflo ino 1346 2005.05.11 21:39
94 [일반] IBM AS/400 LDAP Server User Accounts Dis ino 1353 2005.04.06 11:01
93 [일반] PHP 4.x/5.x Denial of Service and Securi ino 1335 2005.04.03 13:23
92 [일반] Linux Kernel v2.6.10 Remote Denial of Se ino 1357 2005.03.30 21:22
91 [일반] overwriting low kernel memory ino 1312 2005.03.23 15:02