English

◀◁ 뒤로 취약점ID 21483 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 호스트에는 2.0.12 이전의 phpBB의 버전이 가동 중이다. phpBB는 게시판(bulletin board)을 위한 오픈 소스 소프트웨어 패키지로써 데이터베이스로는 MySQL, MS-SQL, PostgreSQL, Access/ODBC 등을 사용한다. phpBB 2.0.12 이전 버전들은 원격지의 공격자가 다음과 같은 민감한 정보를 보거나 삭제할 수 있게 해 줄 수 있다: 1) 아바타(avatar)에 대한 업로딩 처리 과정에 있는 입력값 타당성 검증 오류는 로컬 및 원격지에서 아바타를 업로드하기 위한 동시 다발적으로 요청하거나 "Upload Avatar from a URL:" 필드에 있는 로컬 경로명을 명기함으로써 임의의 파일들을 노출시키는데 도용될 수 있다. 성공적으로 도용하기 위해서는 "Enable remote avatars" 그리고 "Enable avatar uploading" (디폴트 설정은 아님) 설정들을 필요로 한다. 2) "usercp_avatar.php" 그리고 "usercp_register.php"에 있는 입력값 타당성 검증 오류들은 디렉토리 탐색 공격들을 통하여 임의의 파일들을 삭제하는데 도용될 수 있다. 성공적으로 도용하기 위해서는 "Enable gallery avatars" (디폴트 설정은 아님) 설정을 필요로 한다. 3) 기타 문제점들은 어떤 스크립트들에 완전한 경로명 노출 취약점들이 존재하는 것으로 알려져 있다. * 참고 사이트: http://www.phpbb.com/phpBB/viewtopic.php?t=265423 http://secunia.com/advisories/14362/ http://www.securitytracker.com/alerts/2005/Feb/1013262.html http://www.kb.cert.org/vuls/id/774686 * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 phpBB의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 영향을 받는 플랫폼: phpBB Group, phpBB 2.0.12 이전 버전들 모든 운영체제 모든 버전 해결책 phpBB 다운로드 웹 페이지인 http://www.phpbb.com/downloads.php 에서 구할 수 있는 phpBB의 사장 최신 버전(2.0.12 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2005-0258,CVE-2005-0259 (CVE) 관련 URL 12618,12621,12623 (SecurityFocus) 관련 URL 19425,19439 (ISS)