English

◀◁ 뒤로 취약점ID 21489 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 phpWebSite의 버전 정보에 따르면 해당 소프트웨어에는 Announce 모듈에 PHP 파일 업로딩 취약점이 존재한다. phpWebSite는 PHP로 제작된 공개 소스 기반의 웹 사이트 컨텐츠 관리 시스템(CMS)을 제공해 준다. phpWebSite 0.10.0 이하의 버전들은 Announce 모듈에 있는 취약점으로 인하여 원격 임의의 PHP 파일 업로드 취약점에 취약하다. ".gif.php" 확장자를 가진 PHP 파일을 참조하도록 Image 필드를 설정함으로써, 원격지의 공격자는 이미지 파일로 위장한 PHP 스크립트들을 업로드할 수 있다. 공격자는 이 취약점을 도용하여 시스템에 임의의 코드를 실행시킬 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 phpWebSite의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://secunia.com/advisories/14399/ http://www.securitytracker.com/alerts/2005/Feb/1013298.html http://securityfocus.com/archive/1/391496 http://securityfocus.com/archive/1/391537 * 영향을 받는 플랫폼: Appalachian State University, phpWebSite 0.10.0 이하의 버전들 모든 운영체제 모든 버전 해결책 phpWebSite 웹 사이트인 http://phpwebsite.appstate.edu/ 에서 구할 수 있는 phpWebSite의 가장 최신 버전(0.10.0 이후)이나 버전 0.10.0을 위한 가장 최신의 phpWebSite (2005년 2월 28일자 phpws_files_security_patch.tgz)로 업그레이드 하여야 한다. Gentoo Linux의 경우 다음 Gentoo Linux Security Advisory GLSA 200503-04를 참조하여 phpWebSite의 가장 최신 버전 (0.10.0-r2 혹은 이후)으로 업그레이드 하여야 한다: http://www.gentoo.org/security/en/glsa/glsa-200503-04.xml 기타: 해당 제조업체에 문의하여 업그레이드나 패치 정보에 대해 알아본다. 관련 URL CVE-2005-0565 (CVE) 관련 URL 12653 (SecurityFocus) 관련 URL 19482 (ISS)