English

◀◁ 뒤로 취약점ID 22243 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 Apache 웹 서버의 배너정보에 따르면, 서버는 Apache-SSL Client 증명서 위조 취약점을 가지고 있다. Ben Laurie Apache-SSL은 무료로 사용 가능한 Apache와 SSLeay/OpenSSL에 기반을 둔 보안을 강화한 웹 서버이다. Apache-SSL 1.3.28/1.52 이하의 버전들은 디폴트 패스워드를 가지고 있다. 만약 Apache-SSL이 '1' 혹은 '3' (클라이언트에 의해 선택적 증명)으로 설정된 SSLVerifyClient와 SSLFakeBasicAuth를 가지고 설정되어 있다면 Apache-SSL은 임의의 클라이언트가 진짜의 기본(basic) 인증을 사용하여 클라이언트 증명서를 위조할 수 있게 해 준다. 원격지의 공격자는 정상적인 온라인 증명서 명을 가지고 어떤 증명서를 보내고 고정된 패스워드(디폴트로 "password")를 사용하여 취약한 서버에 대해 비인가된 액세스를 얻어낼 수 있다. * 알림: 이 점검항목은 안전한 점검을 위해서 Apache 웹 서버의 배너정보에만 의존한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.securityfocus.com/archive/1/353029 http://www.securiteam.com/unixfocus/5TP022AC0E.html * 영향을 받는 플랫폼: Ben Laurie Apache-SSL 1.3.28/1.52 이하 Linux Any version Microsoft Windows Any version 해결책 Apache-SSL 웹 사이트인 http://www.apache-ssl.org 에서 구할 수 있는 Apache-SSL의 가장 최신 버전(1.3.29/1.53 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2004-0009 (CVE) 관련 URL 9590 (SecurityFocus) 관련 URL 15065 (ISS)