| 취약점ID |
21773 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
해당 Moodle 소프트웨어는 1.5.3 이전의 버전들에 존재하는 다중의 SQL 주입 취약점들에 취약하다. Moodle은 Microsoft Windows, Unix, Linux 계열 플랫폼을 위한 PHP 기반 오픈 소스 코스 관리 시스템(CMS: Course Management System) 이다. Moodle 버전 1.5.2와 그 이전의 버전들은 'course/category.php' 와 'course/info.php' 스크립트들의 'id' 인수, 그리고 'iplookup/ipatlas/plot.php' 스크립트의 'user' 인수를 통해 원격지의 공격자가 임의의 SQL 명령들을 실행할 수 있게 해 줄 수 있다. 이 취약점들은 원격지의 공격자가 악의적인 데이터를 데이터베이스 질의로 전달하여 결과적으로 데이터 노출, 질의 로직에 대한 수정, 심지어 자체 데이터베이스에 대한 데이터 수정이나 공격을 할 수 있게 해 줄 수 있다.
* 참고 사이트:
http://security.moodle.org/mod/forum/discuss.php?d=186
http://archives.neohapsis.com/archives/bugtraq/2005-11/0140.html
* 영향을 받는 플랫폼:
Martin Dougiamas, Moodle 버전 1.5.2와 그 이전의 버전들
모든 운영체제 모든 버전 |
| 해결책 |
Moodle 웹 사이트인 http://www.moodle.org 에서 구할 수 있는 가장 최신의 Moodle 버전(1.6dev 혹은 이후)을 구하여 업그레이드 하여야 한다.
-- 혹은 --
임시 조치방법으로 PHP의 'magic_quotes_gpc' 설정을 사용 함으로 전환하고 'register_globals' 설정을 사용 중지시킨다. |
| 관련 URL |
CVE-2005-3648 (CVE) |
| 관련 URL |
15380 (SecurityFocus) |
| 관련 URL |
23058 (ISS) |
|
