English

◀◁ 뒤로 취약점ID 21454 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 KorWeblog에는 'index.php' 스크립트에 PHP 파일 주입 취약점이 존재한다. KorWeblog 는 Linux 기반 운영체제를 위한 PHP 로 제작된 웹 블로그 프로그램으로, MySQL 데이터베이스를 사용한다. KorWeblog 버전 1.6.2-cvs와 그 이전 버전들은 원격지 공격자들이 악의적인 PHP 파일을 주입할 수 있도록 허용한다. 이는 애플리케이션이 'index.php' 스크립트를 통해 전달되는 사용자 입력을 적절히 검사하지 못하여 발생한다. 원격지 공격자들은 원격지 시스템의 악의적인 파일을 명시한 'lng' 변수를 포함하는 잘 조작된 'index.php' 요청을 서버에 전달하는 방법으로, 대상 서버가 원격지 서버에 위치한 임의의 PHP 코드를 포함하거나 실행하도록 만들 수 있다. * 참고 사이트: http://securitytracker.com/alerts/2005/Jan/1012745.html http://archives.neohapsis.com/archives/bugtraq/2004-12/0451.html * 영향을 받는 플랫폼: KorWeblog 1.6.2-cvs 와 그 이전 버전들 Linux 모든 버전들 해결책 다음 KorWeblog 웹 사이트로부터 이 문제를 위한 적절한 패치를 구하여 적용하여야 한다: http://sourceforge.net/projects/eunjea/ 관련 URL CVE-2004-1427 (CVE) 관련 URL 12132 (SecurityFocus) 관련 URL 18717 (ISS)