English

◀◁ 뒤로 취약점ID 21316 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹서버에 설치된 phpBB의 버전에 따르면 phpBB에는 다수의 SQL Injection 취약점들이 존재한다. phpBB는 게시판(bulletin board)을 위한 오픈 소스 소프트웨어 패키지로써 데이터베이스로는 MySQL, MS-SQL, PostgreSQL, Access/ODBC 등을 사용한다. 다수 취약점들 중의 하나는 'admin_board.php' 스크립트 상에서, 다른 하나는 부적절한 문자를 갖는 세션 ID로 인해 'sessions.php' 상에서 발생한다. 이들 취약점들은 사용자 입력 URI 파라미터들을 후위 데이터베이스에 전달될 SQL 질의문(query) 작성에 사용하기 전에 어플리케이션이 적절히 필터링하지 못하여 발생한다. 취약점을 성공적으로 도용하면, 원격지의 공격자들은 영향을 받는 시스템 상의 관리자 권한이나 원격지 사용자들의 패스워드 MD5 해쉬(hash)값 등을 획득할 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 phpBB의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 관련 사이트: http://www.osvdb.org/show/osvdb/7814 http://www.osvdb.org/show/osvdb/7811 http://www.phpbb.com/support/documents.php?mode=changelog * 영향을 받는 플랫폼: phpBB 2.0.9 이전 버전들 Linux Any version Unix Any version Windows Any version 해결책 다음 사이트로부터 구할 수 있는 phpBB의 가장 최신 버전(2.0.9 혹은 이후)으로 업그레이드 하여야 한다: http://www.phpbb.com/downloads.php 관련 URL (CVE) 관련 URL 10722 (SecurityFocus) 관련 URL (ISS)