English

◀◁ 뒤로 취약점ID 21237 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Zeroboard의 _head.php는 원격지의 공격자들에게 임의의 명령을 실행할 수 있게 해 준다. Zeroboard는 Linux와 Unix 플랫폼에서 사용할 수 있는 PHP 웹 게시판 패키지이다. Zeroboard는 한국에서 가장 인기있는 PHP 웹 게시판 중의 하나이다. 특정 환경 하에서, Zeroboard는 임의의 PHP 파일들을 포함(include) 할 수 있다. _head.php 파일은 입력에 대한 체크에 문제를 가지고 있다. Php.ini에 있는 "allow_url_fopen" 변수와 "register_globals" 변수가 "On" 으로 설정되어 있을 때, _head.php 스크립트를 통해 외부 URL로부터 임의의 PHP include 파일을 로드(load)할 수 있다. * 영향을 받는 플랫폼: Zeroboard 4.0 ~ 4.1 pl2 UNIX/Linux 모든 버전 해결책 임시 조치방법으로 php.ini 파일에서 'allow_url_fopen = off' 그리고 'register_globals = off' 를 설정한다. 관련 URL CVE-2002-1704 (CVE) 관련 URL 5028 (SecurityFocus) 관련 URL (ISS)