English

◀◁ 뒤로 취약점ID 21292 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Ultimate PHP Board에는 비인가된 정보들의 노출 취약점이 존재한다. UPB(Ultimate PHP Board)는 Windows와 Unix 및 Linux 운영체제에서 동작하는 오픈 소스 PHP 게시판으로서 무료로 사용 가능하다. 'data_dir'(<UPD 설치폴더/db>)에 위치한 파일들은 디폴트로 원격으로 접근이 가능하도록 설정되어 있다. 이 디렉토리에는 게시판 사용자들의 개인정보들이 담겨져 있는 파일들이 존재하기 때문에, 악의적인 공격자들에게 중요한 정보를 노출할 수 있게 된다. 이 취약점을 통해 획득된 정보들은 공격자들에 의해 보다 지능적인 공격 수행을 위해 이용될 수 있다. 다음과 같은 방법으로, 이 취약점을 수동으로 테스트해 볼 수 있다. - http://[target]/upd/db/users.dat - http://[target]/board/db/user.dat * 참고 사이트: http://www.osvdb.org/4928 http://archives.neohapsis.com/archives/bugtraq/2002-10/0016.html http://archives.neohapsis.com/archives/bugtraq/2002-12/0071.html * 영향을 받는 플랫폼: MyUPB Ultimate PHP Board 1.9 MyUPB Ultimate PHP Board 1.8 MyUPB Ultimate PHP Board 1.7 MyUPB Ultimate PHP Board 1.6 MyUPB Ultimate PHP Board 1.5 Microsoft Windows Any version Unix Any version 해결책 MyUPB 웹 사이트인 http://www.myupb.com 로부터 이 취약점이 해결된 버전 1.9.6 이상을 구하여 업그레이드 하여야 한다. 임시 조치방법으로, ".htaccess" 를 통해 '/db/' 디렉토리를 보호하거나 Ultimate PHP Board 소스를 수정하여 'users.dat' 파일이 웹 서버 루트 밖에 위치하도록 변경한다. 관련 URL CVE-2002-2276 (CVE) 관련 URL 6333 (SecurityFocus) 관련 URL 10788 (ISS)