English

◀◁ 뒤로 취약점ID 21517 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 paFileDB의 버전 정보에 따르면 해당 프로그램에는 패스워드 해쉬(Hash) 노출 취약점에 취약하다. paFileDB는 MySQL 데이터베이스를 사용하는 PHP Arena에 의해 개발된 웹 기반의 파일 다운로드 관리 프로그램이다. paFileDB 3.1 이하의 버전들은 원격지의 공격자가 관리자를 포함하여 다른 계정들의 패스워드 해쉬를 볼 수 있게 해 준다. 만약 관리자가 시스템에 현재 로그온해 있다면 원격지의 공격자는 sessions 디렉토리를 액세스하여 관리자의 해쉬화된 패스워드를 볼 수 있다. 이 문제는 Cookie 인증이 아닌 Session 인증이 사용되고 있을 때에만 존재한다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 paFileDB 프로그램의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.securitytracker.com/alerts/2004/Dec/1012421.html * 영향을 받는 플랫폼: PHP Arena, paFileDB 3.1 이하의 버전들 Linux Any version Microsoft Windows Any version Unix Any version 해결책 paFileDB는 더 이상 지원되지 않는다. 보안을 위해 다른 솔루션으로 대체할 것을 권고한다. 관련 URL CVE-2004-1219 (CVE) 관련 URL 11818 (SecurityFocus) 관련 URL 18364 (ISS)