| 취약점ID |
21968 |
| 위험도 |
30 |
| 포트 |
80, ... |
| 프로토콜 |
TCP |
| 분류 |
CGI |
| 상세설명 |
해당 Gallery 소프트웨어는 'Install.log' 파일을 통한 정보 노출 취약점에 취약하다. Gallery는 PHP로 제작된 웹 기반의 사진 앨범 프로그램이다. Gallery 2.0.2 이전 버전들은 'install.log' 파일에 의한 정보 노출 문제를 가지고 있다. 민감한 정보가 Gallery 데이터 디렉토리 안의 설치 로그에 저장되어 있다. 간단한 HTTP GET 요청 메시지를 사용하여 원격지 공격자는 이 로그를 가져오고 디렉토리를 탐색하고 Gallery 설치 경로나 관리자 패스워드 해쉬와 같은 민감한 정보들을 획득할 수 있다.
* 참고 사이트:
http://archives.neohapsis.com/archives/bugtraq/2005-11/0371.html
http://www.securityfocus.com/archive/1/archive/1/418200/100/0/threaded
http://www.securityfocus.com/bid/15614
* 영향을 받는 플랫폼:
Bharat Mediratta, Gallery 2.0.2 이전의 버전들
모든 운영체제 모든 버전 |
| 해결책 |
Gallery Project의 웹 페이지인 http://gallery.menalto.com/ 에서 구할 수 있는 Gallery의 가장 최신 버전(2.0.2 혹은 이후)으로 업그레이드 하여야 한다.
임시 조치방법으로는 웹서버 Document root 바깥쪽으로 Gallery 데이터 디렉토리를 옮기거나 install.log 파일을 삭제하여야 한다. |
| 관련 URL |
CVE-2005-4021 (CVE) |
| 관련 URL |
(SecurityFocus) |
| 관련 URL |
23337 (ISS) |
|
