English

◀◁ 뒤로 취약점ID 21351 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹 서버에 설치되어 있는 phpGroupWare 버전에 따르면, phpGroupWare에는 다수의 SQL Injection 취약점들이 존재한다. Joseph Engo의 phpGroupWare 는 전자우편, 캘린더, To-Do 목록과 같은 기능을 포함하는 PHP 로 제작된 웹 기반의 그룹웨어 시스템이다. phpGroupWare 0.9.14.007 이전의 일부 버전들에는 'calendar' 또는 'infolog' 모듈들 상에서 사용자 입력 데이터에 대한 부적절한 필터링으로 인하여 다수의 SQL Injection 취약점들이 존재한다. 원격지 공격자들은 'calendar' 또는 'infolog' 모듈에 악의적인 SQL 명령들을 전달하는 방법으로, 후위 데이터베이스 상의 정보를 추가, 삭제, 변경과 같은 비인가된 데이터베이스 오퍼레이션들을 수행할 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 phpGroupWare 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.debian.org/security/2004/dsa-419 http://www.osvdb.org/2691 http://www.osvdb.org/6857 * 영향을 받는 플랫폼: Joseph Engo: phpGroupWare 0.9.14.006, 0.9.14.005, 0.9.14.003 Joseph Engo: phpGroupWare 0.9.12 Joseph Engo: phpGroupWare 0.9.13 Debian Linux 3.0 Linux Any version Windows Any version Unix Any version 해결책 phpGroupWare 다운로드 사이트인 http://prdownloads.sourceforge.net/phpgroupware/ 에서 phpGroupWare의 가장 최신 버전(0.9.14.007 또는 그 이후)을 구하여 업그레이드 하여야 한다. Debian GNU/Linux 3.0 (woody)의 경우, Debian 보안 권고문 DSA-419-1, http://www.debian.org/security/2004/dsa-419 에서 phpGroupWare의 가장 최신 버전(0.9.14-0.RC3.2.woody3 또는 그 이후)을 구하여 업그레이드 하여야 한다. 다른 배포판의 경우, 업그레이드나 패치 정보에 대해서는 해당 제품 제조사에 문의한다. 관련 URL CVE-2004-0017 (CVE) 관련 URL 9386 (SecurityFocus) 관련 URL 14846 (ISS)