English

◀◁ 뒤로 취약점ID 21457 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 ZeroBoard 소프트웨어는 'error.php' 스크립트의 'dir' 인수에 있는 원격 PHP Include 취약점들에 취약하다. ZeroBoard는 무료로 사용 가능한, 오픈 소스의 PHP 기반의 게시판 소프트웨어로, 한국에서 널리 사용된다. ZeroBoard 4.1pl5 이하의 버전들은 'allow_url_fopen' 그리고 'register_globals' 지시자들이 사용 중으로 되어 있을 때, 'error.php' 파일에 있는 설계 결함으로 인하여 원격지의 공격자들이 영향을 받는 호스트 상에 임의의 명령을 실행할 수 있게 해 줄 수 있다. 원격지 공격자들은 "error.php" 스크립트의 "dir" 인수에 악의적인 include 파일을 명시함으로써, 웹 서버의 권한으로 시스템에서 임의 코드를 실행할 수 있다. * 영향을 받는 플랫폼: ZeroBoard 4.1pl5 이하의 버전들 모든 운영체제 모든 버전 해결책 이 문제를 포함하여 이와 유사한 문제들을 위한 임시 조치방법으로, 로컬 사이트의 PHP 설정에서 'allow_url_fopen' 그리고 'register_globals' 지시자들을 사용 중지시켜야 한다. 관련 URL CVE-2005-0379,CVE-2005-0380 (CVE) 관련 URL 12206 (SecurityFocus) 관련 URL 18891,18892 (ISS)