English

◀◁ 뒤로 취약점ID 22238 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 thttpd HTTP 서버는 ssi CGI 프로그램을 통한 디렉토리 탐색 취약점을 가지고 있다. Acme Labs에 의해 개발된 thttpd는 대부분의 Unix 기반의 운영체제에서 이용 가능한 무료 웹 서버 데몬이다. 2.20 미만의 thttpd 버전들은 원격지의 공격자가 웹 서버 상의 디렉토리들을 탐색할 수 있게 해 준다. Acme thttpd HTTP 서버는 "ssi"라 불리는 thttpd 외부의 CGI 프로그램을 가지고 있는데, 이 프로그램은 몇몇 HTTP 데몬들에 있는 빌트인 Server-Side-Includes 기능을 제공한다. Ssi 스크립트를 통해서 걸러지는(filtered) 파일의 이름들은 환경변수인 PATH_TRANSLATED를 통해 ssi로 건네진다. 그러나 몇몇 Escape 시퀀스들은 ssi에 의해 적절히 걸러지지 않는다. 결과적으로 (필터링(filtering)을 우회하기 위한 16진 Escape ".." 시퀀스들을 이용한) 악의적인 URL들을 보냄으로써, 원격지의 공격자는 웹 서버상의 임의의 알려진 위치에 있는 파일들을 볼 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2000-10/0025.html * 영향을 받는 플랫폼: thttpd 2.20 미만의 버전들 Linux Any version Unix Any version 해결책 다음 thttpd 웹 사이트에서 thttpd의 가장 최신 버전(2.20 혹은 이후)을 구하여 업그레이드 하여야 한다: http://www.acme.com/software/thttpd/ 관련 URL CVE-2000-0900 (CVE) 관련 URL 1737 (SecurityFocus) 관련 URL 5313 (ISS)