| 취약점ID |
210094 |
| 위험도 |
40 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
해당 Coppermine Gallery는 'picEditor.php' 스크립트를 통한 명령 실행 취약점에 취약하다. Gregory Demar에 의해 개발된 Coppermine Photo Gallery는 MySQL 데이터베이스를 사용하는 무료로 사용 가능한 PHP 기반의 이미지 갤러리 스크립트이다. Coppermine Photo Gallery 1.4.15 이전의 버전들은 'picEditor.php' 스크립트의 'quality', 'angle' 그리고 'clipval' 인수들로 전달된 사용자가 제공한 입력에 대한 부적절한 검증으로 인하여, 원격지의 공격자가 임의의 명령들을 실행할 수 있게 해 줄 수 있다. 원격지의 공격자는 이 취약점을 도용하여 웹 서버의 권한을 가지고 임의의 명령들을 삽입하고 실행할 수 있다.
* 참고 사이트:
http://coppermine-gallery.net/forum/index.php?topic=50103.0
http://www.securityfocus.com/archive/1/487310/30/0/threaded
http://www.waraxe.us/advisory-65.html
http://secunia.com/advisories/28682
* 영향을 받는 플랫폼:
Gregory Demar, Coppermine Photo Gallery 1.4.15 이전의 버전들
모든 운영체제 모든 버전 |
| 해결책 |
Coppermine Photo Gallery 웹 사이트인 http://coppermine.sourceforge.net 에서 구할 수 있는 Coppermine Photo Gallery의 가장 최신 버전(1.4.15 혹은 이후)으로 업그레이드 하여야 한다.
-- 혹은 --
대안으로는 Graphics 라이브러리로써 GD를 사용하도록 어플리케이션을 재구성하여야 한다. 그리고 이는 디폴트 설정이기도 한다. |
| 관련 URL |
CVE-2008-0506 (CVE) |
| 관련 URL |
27512 (SecurityFocus) |
| 관련 URL |
40058 (ISS) |
|
