English

◀◁ 뒤로 취약점ID 21455 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 KorWeblog에는 'viewimg.php' 스크립트에 디렉토리 탐색 취약점이 존재한다. KorWeblog 는 Linux 기반 운영체제를 위한 PHP 로 제작된 웹 블로그 프로그램으로, MySQL 데이터베이스를 사용한다. KorWeblog 버전 1.6.2-cvs와 그 이전 버전들은 원격지 공격자들이 웹 서버 상의 임의의 디렉토리 안에 존재하는 파일들을 볼 수 있도록 허용한다. 이는 애플리케이션이 'viewing.php' 스크립트를 통해 전달되는 사용자 입력을 적절히 검사하지 못하여 발생한다. 원격지 공격자들은 'path' 변수에 "/../" 문자열을 포함하는 잘 조작된 요청을 서버에 전달하는 방법으로, 웹 루트 디렉토리 외부에 존재하는 임의의 디렉토리 목록을 볼 수 있다. * 참고 사이트: http://securitytracker.com/alerts/2004/Nov/1012312.html * 영향을 받는 플랫폼: KorWeblog 1.6.2-cvs 와 그 이전 버전들 Linux 모든 버전들 해결책 다음 KorWeblog 웹 사이트로부터 이 문제를 위한 적절한 패치를 구하여 적용하여야 한다: http://sourceforge.net/projects/eunjea/ 관련 URL CVE-2004-1543 (CVE) 관련 URL 11744 (SecurityFocus) 관련 URL 18234 (ISS)