English

◀◁ 뒤로 취약점ID 21269 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹서버에 설치된 phpBB는 search.php를 이용한 SQL injection 취약점을 가지고 있다. phpBB는 게시판(bulletin board)을 위한 오픈 소스 소프트웨어 패키지로써 데이터베이스로는 MySQL, MS-SQL, PostgreSQL, Access/ODBC 등을 사용한다. 이 SQL injection 취약점은 phpBB에서 "search.php" 스크립트에 전달되는 사용자 제공 입력값을 부적절하게 처리함으로 인하여 발생한다. 원격지 공격자들은 SQL 쿼리가 포함된 search_id 변수를 "search.php" 스크립트에 전달함으로써, phpBB가 사용하는 데이터베이스를 임의로 조작할 수 있다. 결과적으로 공격자는 스크립트가 수행하는 SQL 질의를 다룰 수 있으며 데이터베이스로부터 패스워드 해쉬와 같은 정보를 추출해 낼 수 있다. * 참고 사이트: http://www.securityfocus.com/archive/1/345872 http://www.securityfocus.com/archive/1/345946 * 영향을 받는 플랫폼: phpBB 2.0.6 이하의 버전들 Linux 모든 버전 Unix 모든 버전 Windows 모든 버전 해결책 다음 사이트로부터 phpBB의 가장 최신 버전(2.0.6 혹은 이후)을 구하여 업그레이드 하여야 한다: http://www.phpbb.com/downloads.php 임시 조치방법으로, 다음 사이트로부터 phpBB 포럼이 제공하는 임시적인 조치방법(fix)을 구할 수 있다: http://www.phpbb.com/phpBB/viewtopic.php?t=153818 관련 URL CVE-2003-1216 (CVE) 관련 URL 9122 (SecurityFocus) 관련 URL 13867 (ISS)