English

◀◁ 뒤로 취약점ID 21242 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 Bugzilla 버그 추적 시스템의 버전에 따르면 디폴트 HTML 템플릿으로 인한 Cross-Site Scripting 취약점이 존재한다. Mozilla project에 의해 개발된 Bugzilla는 각종 버그들을 리포팅하고 적절한 개발자들에게 리포팅된 버그들을 할당하기 위한 "bug-tracking" 시스템으로서 오픈 소스에 무료로 사용할 수 있다. Bugzilla는 Linux, Unix, MS 운영체제 등의 다양한 플랫폼 상에서 웹과 E-Mail 기반으로 동작한다. Bugzilla 시스템 상에서, 사용자에게 결과를 보여주기 위해서 사용되는 디폴트 HTML 템플릿(templates)에는 다수의 Cross-Site Scripting 취약점들이 존재한다. 이 디폴트 HTML 템플릿(templates)에서는 입력된 사용자 입력 중 HTML 메타 문자들을 적절하게 필터링하지 못한다. 이를 이용하여 원격지 공격자들은 서버에 잘 조작된 데이터를 전달하는 방법으로, 임의의 스크립트 코드 및 HTML을 삽입하고 삽입된 스크립트 코드와 HTML이 Bugzilla 시스템에 방문하는 사용자들의 브라우저를 통해 실행되도록 할 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 Bugzilla 버그 추적 시스템의 버전정보 만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2003-04/0323.html http://www.secunia.com/advisories/8669/ http://bugzilla.mozilla.org/show_bug.cgi?id=192677 * 영향을 받는 플랫폼: Bugzilla 2.16.2 와 그 이전 버전 Bugzilla 2.17.3 와 그 이전 버전 해결책 Bugzilla 웹 사이트 http://www.bugzilla.org/download.html 를 참조하여 문제가 해결된 버전 (2.16.3 또는 2.17.4) 으로 업그레이드 하여야 한다. 버전 2.16-2.16.2를 사용하는 사용자의 경우, http://ftp.mozilla.org/pub/webtools/ 를 참조하여 적절한 패치를 설치해야 한다. 관련 URL CVE-2003-0603 (CVE) 관련 URL 7412 (SecurityFocus) 관련 URL 11867 (ISS)