English

◀◁ 뒤로 취약점ID 21446 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Open WebMail 시스템에는 userstat.pl 스크립트에 원격 명령 실행 취약점이 존재한다. Open WebMail은 Unix 기반의 운영체제들을 위한 Perl로 제작된, Ernie Miller의 Neomail 버전 1.14에 기반을 둔 공개 소스 웹 메일 시스템이다. Open WebMail 2.30 이하의 버전들은 원격지의 공격자가 userstat.pl의 필터링되지 않는 인수를 도용함으로써 웹 서버 권한으로 임의의 명령들을 실행시킬 수 있게 해 준다. 이 스크립트는 loginname 인수로부터 쉘(shell) 문자들을 적절하게 필터링하지 못한다. GET, HEAD 혹은 POST 요청에 쉘 명령이 따르는 ";", "|" 혹은 "( )"을 덧붙임으로써, 원격지의 공격자는 인가되지 않은 사용자 권한으로 임의의 시스템 명령들을 실행시킬 수 있다. * 참고 사이트: http://www.osvdb.org/4201 http://secunia.com/advisories/11091/ http://beyonce.beyondsecurity.com/unixfocus/5XP0G0ACUC.html * 영향을 받는 플랫폼: Open WebMail 2.30 이하의 버전들 Linux Any version Unix Any version 해결책 Open WebMail 다운로드 웹 사이트인 http://openwebmail.acatysmoof.com/ 에서 구할 수 있는 Open WebMail의 가장 최신 버전(2005년 1월 4일자 current-2.41 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL (CVE) 관련 URL 10316 (SecurityFocus) 관련 URL 15444 (ISS)