English

◀◁ 뒤로 취약점ID 21456 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 TECH-NOTE에는 'print.cgi' 스크립트에 파일 노출 취약점이 존재한다. TECH-NOTE (Technote) 는 웹 사이트를 위해 한국에서 개발된 인기있는 게시판 소프트웨어이다. TECH-NOTE 2000, 2001, Pro 에는 원격지 공격자들이 임의의 디렉토리를 탐색하도록 허용할 수 있다. 이는 애플리케이션이 'print.cgi' 스크립트 상에서 open() 함수를 호출할 때 전달되는 사용자 입력을 적절히 검사하지 못하기 때문이다. 원격지 공격자들은 'board' 파라미터에 "/../" 문자열을 포함하는 잘 조작된 URL 을 서버에 전달하는 방법으로, 웹 서버 상의 디렉토리들을 탐색하거나 파일들을 읽을 수 있다. * 참고 사이트: http://www.securityfocus.com/archive/1/153007 http://beyonce.beyondsecurity.com/unixfocus/5ZP061535O.html * 영향을 받는 플랫폼: TECH-NOTE Inc., TECH-NOTE 2000 TECH-NOTE Inc., TECH-NOTE 2001 TECH-NOTE Inc., TECH-NOTE Pro Linux Any version Unix Any version 해결책 다음과 같이 이 문제를 해결하기 위한 패치를 적용하여야 한다: 1. 'technote/print.cgi' 소스를 열고 코드 '&parse;' 라인을 찾는다. 2. 다음 라인에 'exit if($FORM{'img'}=~/\;|\%|\\|\.\.|\||\//);' 코드를 추가한다. 관련 URL CVE-2001-0074 (CVE) 관련 URL 2155 (SecurityFocus) 관련 URL 5815 (ISS)