English

◀◁ 뒤로 취약점ID 21458 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 PHP-Calendar 소프트웨어는 'calendar.php' 그리고 'setup.php' 스크립트의 'phpc_root_path' 인수에 원격 PHP Include 취약점들에 취약하다. PHP-Calendar는 PHP로 구현된 웹 기반의 달력이다. PHP-Calendar 0.10.0 이하의 버전들은 'allow_url_fopen' 그리고 'register_globals' 지시자들이 사용 중으로 되어 있을 때, 원격지의 공격자들이 영향을 받는 호스트 상에 임의의 명령을 실행할 수 있게 해 줄 수 있다. 원격지 공격자들은 'calendar.php' 혹은 'setup.php' 스크립트의 'phpc_root_path' 인수에 악의적인 include 파일을 명시함으로써, 웹 서버의 권한으로 시스템에서 임의 코드를 실행할 수 있다. * 참고 사이트: http://www.gulftech.org/?node=research&article_id=00060-12292004 * 영향을 받는 플랫폼: PHP-Calendar 0.10.0 이하의 버전들 모든 운영체제 모든 버전 해결책 PHP-Calendar 웹 사이트인 http://php-calendar.sourceforge.net/ 에서 최신버전의 PHP-Calendar으로 업그레이드 하여야 한다. -- 혹은 -- 임시 조치방법으로, 영향을 받는 페이지들의 맨 앞에 다음 라인들을 추가한다: if ( !defined('IN_PHPC') ) { die("Hacking attempt"); } -- 혹은 -- 이 문제를 포함하여 이와 유사한 문제들을 위한 또 다른 임시 조치방법으로, 로컬 사이트의 PHP 설정에서 'allow_url_fopen' 그리고 'register_globals' 지시자들을 사용 중지시켜 놓아야 한다. 관련 URL CVE-2004-1423 (CVE) 관련 URL 12127 (SecurityFocus) 관련 URL 18710 (ISS)