English

◀◁ 뒤로 취약점ID 21271 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 CVSWeb CGI의 버전에 따르면 CGI는 안전하지 못한 perl "open" 취약점을 가지고 있다. Henner Zeller CVSWeb은 프로그램의 소스코드를 공유하고 CVS 저장소의 내용을 찾아보는데 사용된다. CVSWeb 패키지의 1.85 이하 버전들은 CVS 저장소에 대한 쓰기 권한을 가진 원격지의 공격자가 CGI 프로그램을 통하여 임의의 명령들을 수행할 수 있게 해 준다. Cvsweb.cgi 프로그램에 있는 Perl 코드는 open() 함수를 안전하지 못하게 호출한다. 공격자는 Shell의 Meta 문자들을 포함한 파일명을 생성하여 영향을 받는 시스템 상에 Shell 코드를 실행할 수 있다. * 참고 사이트: http://www.securityfocus.com/archive/1/69942 * 영향을 받는 플랫폼: Henner Zeller CVSWeb 1.85 이하 UNIX Any version Linux Any version 해결책 다음 Hen의 cvsweb CVS Repository에서 구할 수 있는 CVSWeb의 가장 최신 버전(1.86 혹은 이후)으로 업그레이드 하여야 한다: http://www.tucows.com/preview/26757/CVSweb Mandrake Linux의 경우: 다음 MandrakeSoft Security Advisory MDKSA-2000:019를 참조하여 CVSWeb의 가장 최신 버전(1.80-3 혹은 이후)으로 업그레이드 하여야 한다: http://www.mandriva.com/en/support/security/advisories/ Debian GNU/Linux의 경우: 다음 Debian Security Advisory 20000719b를 참조하여 CVSWeb의 가장 최신 버전으로 업그레이드 하여야 한다: http://www.debian.org/security/2000/20000719b 기타: 벤더에 문의하여 패치나 업그레이드 정보를 구하여야 한다. 관련 URL CVE-2000-0670 (CVE) 관련 URL 1469 (SecurityFocus) 관련 URL 4925 (ISS)