English
◀◁ 뒤로
취약점ID 21948
위험도 30
포트 80, ...
프로토콜 TCP
분류 CGI
상세설명 해당 PatchLink Update Server (PLUS)는 checkprofile.asp 스크립트를 통한 SQL 주입 취약점에 취약하다. PatchLink Update Server (PLUS)와 ZENworks Patch Management는 중,대규모의 기업 네트워크를 위한 패치와 취약점 관리 솔루션 제품이다. PatchLink Update Server (PLUS) 6.1 P1 이전 버전들 또는 6.2 SR1 P1 이전 버전들과 ZENworks Patch Management 6.2 SR1 이전 버전들은 '/dagent/checkprofile.asp' 스크립트의 'agentid' 인수로 전달된 사용자 제공 입력값에 대한 부적절한 필터링으로 인하여 원격지 공격자가 임의의 SQL 명령을 실행할 수 있게 해 줄 수 있다. 원격지 공격자는 이 취약점을 도용하여 악의적인 데이터를 데이터베이스 질의로 전달하여 결과적으로 데이터 노출, 질의 로직에 대한 수정, 심지어 자체 데이터베이스에 대한 데이터 수정이나 공격을 할 수 있다.

* 참고 사이트:
http://secunia.com/advisories/20878
http://secunia.com/advisories/20876
http://www.securityfocus.com/archive/1/archive/1/438710/100/0/threaded
http://support.novell.com/cgi-bin/search/searchtid.cgi?10100709.htm

* 영향을 받는 플랫폼:
PatchLink 사, PatchLink Update 6.1 P1 이전 버전들
PatchLink 사, PatchLink Update 6.2 SR1 P1 이전 버전들
Novell, ZENworks Patch Management 6.2 SR1 이전 버전들
Microsoft Windows Any version
해결책 PatchLink Update Server를 사용하고 있다면 PatchLink 웹 사이트인 http://www.lumension.com 에서 PatchLink Update Server의 가장 최신 버전 (6.1 P1 혹은 6.2 SR1 P1 혹은 이후)을 구하여 업그레이드 하여야 한다.

-- 혹은 --

Novell ZENworks Patch Management를 사용하고 있다면 ZENworks Patch Management 다운로드 웹 사이트인 http://www.patchlink.com/downloads/support/helpdesk/3808/NOVELL/HotfixInstaller.msi 에서 Novell ZENworks Patch Management의 가장 최신 버전 (6.2 SR1 혹은 이후)을 구하여 업그레이드 하여야 한다.
관련 URL CVE-2006-3430 (CVE)
관련 URL 18715 (SecurityFocus)
관련 URL 27545 (ISS)