English

◀◁ 뒤로 취약점ID 21257 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 AspUpload의 위험한 예제 스크립트들이 해당 웹서버에 존재한다. AspUpload는 사용자들이 웹 브라우저를 통해 파일들을 ASP 프로그램으로 업로드(upload) 할 수 있도록 해 주는 Active Server 컴포넌트이다. AspUpload 버전 2.1과 3.0은 설치시 디폴트로 예제 스크립트들을 생성한다. 'UploadScript11.asp' 혹은 'DirectoryListing.asp'와 같은 예제 스크립트들은 "dot dot (..)" 문자들을 적절하게 걸러 내지 못하는 결함을 가지고 있어 원격지의 공격자가 웹 서버 상에 있는 디렉토리들을 탐색할 수 있게 해 준다. 원격지의 공격자는 이 취약점들 도용하여 웹 서버가 존재하는 드라이브 상에 위치한 임의의 파일들을 다운로드하거나 업로드할 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2001-11/0292.html http://www.securiteam.com/windowsntfocus/5DP070U60M.html * 영향을 받는 플랫폼: ASPUpload 버전 2.1 ASPUpload 버전 3.0 Microsoft Windows Any version 해결책 필요하지 않다면 "C:\Program Files\Persits Software\AspUpload\Samples"에 위치한 예제 스크립트들을 삭제한다. -- 혹은 -- 다음 사이트를 통해 AspUpload의 가장 최신 버전 (3.0 이상)으로 업그레이드 하고 벤더에 의해 권고되는 모든 패치들을 적용하여야 한다: http://www.aspupload.com 관련 URL CVE-2001-0938 (CVE) 관련 URL 3608 (SecurityFocus) 관련 URL 7628,7629 (ISS)