취약점ID |
21948 |
위험도 |
30 |
포트 |
80, ... |
프로토콜 |
TCP |
분류 |
CGI |
상세설명 |
해당 PatchLink Update Server (PLUS)는 checkprofile.asp 스크립트를 통한 SQL 주입 취약점에 취약하다. PatchLink Update Server (PLUS)와 ZENworks Patch Management는 중,대규모의 기업 네트워크를 위한 패치와 취약점 관리 솔루션 제품이다. PatchLink Update Server (PLUS) 6.1 P1 이전 버전들 또는 6.2 SR1 P1 이전 버전들과 ZENworks Patch Management 6.2 SR1 이전 버전들은 '/dagent/checkprofile.asp' 스크립트의 'agentid' 인수로 전달된 사용자 제공 입력값에 대한 부적절한 필터링으로 인하여 원격지 공격자가 임의의 SQL 명령을 실행할 수 있게 해 줄 수 있다. 원격지 공격자는 이 취약점을 도용하여 악의적인 데이터를 데이터베이스 질의로 전달하여 결과적으로 데이터 노출, 질의 로직에 대한 수정, 심지어 자체 데이터베이스에 대한 데이터 수정이나 공격을 할 수 있다.
* 참고 사이트: http://secunia.com/advisories/20878 http://secunia.com/advisories/20876 http://www.securityfocus.com/archive/1/archive/1/438710/100/0/threaded http://support.novell.com/cgi-bin/search/searchtid.cgi?10100709.htm
* 영향을 받는 플랫폼: PatchLink 사, PatchLink Update 6.1 P1 이전 버전들 PatchLink 사, PatchLink Update 6.2 SR1 P1 이전 버전들 Novell, ZENworks Patch Management 6.2 SR1 이전 버전들 Microsoft Windows Any version |
해결책 |
PatchLink Update Server를 사용하고 있다면 PatchLink 웹 사이트인 http://www.lumension.com 에서 PatchLink Update Server의 가장 최신 버전 (6.1 P1 혹은 6.2 SR1 P1 혹은 이후)을 구하여 업그레이드 하여야 한다.
-- 혹은 --
Novell ZENworks Patch Management를 사용하고 있다면 ZENworks Patch Management 다운로드 웹 사이트인 http://www.patchlink.com/downloads/support/helpdesk/3808/NOVELL/HotfixInstaller.msi 에서 Novell ZENworks Patch Management의 가장 최신 버전 (6.2 SR1 혹은 이후)을 구하여 업그레이드 하여야 한다. |
관련 URL |
CVE-2006-3430 (CVE) |
관련 URL |
18715 (SecurityFocus) |
관련 URL |
27545 (ISS) |
|