English

◀◁ 뒤로 취약점ID 22303 위험도 40 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 Cherokee 웹 서버의 버전에 따르면 해당 서버에는 Format String 취약점이 존재한다. Cherokee 웹 서버는 Microsoft Windows, Linux 그리고 Unix 기반의 운영체제를 위한 작고 알찬 공개소스 웹 서버이다. Cherokee 웹 서버 0.4.17.1 이하의 버전들은 사용자 제공 입력에 대해 Format된 출력(Printing) 함수에 있는 Format 지시자로 사용하기 전에 어플리케이션이 적절히 필터링하지 못하는 결함으로 인하여 Format String 공격에 취약하다. 원격지의 공격자는 auth_pam을 이용하여 인증 요청들을 처리할 때 잘 조작된 URL을 보내, 시스템 상에 임의의 코드를 실행할 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://bugs.gentoo.org/show_bug.cgi?id=67667 http://secunia.com/advisories/13057/ * 영향을 받는 플랫폼: Cherokee Development Team, Cherokee Web Server 0.4.17.1 이전 버전들 Linux Any version Microsoft Windows Any version Unix Any version 해결책 다음 Cherokee 다운로드 웹 페이지에서 구할 수 있는 Cherokee 웹 서버의 가장 최신 버전(0.4.17.1 혹은 이후)으로 업그레이드 하여야 한다: http://www.cherokee-project.com/ Gentoo Linux의 경우: 다음 Gentoo Linux Security Advisory GLSA 200411-02를 참조하여 Cherokee의 가장 최신 버전(0.4.17.1 혹은 이후)으로 업그레이드 하여야 한다: http://www.gentoo.org/security/en/glsa/glsa-200411-02.xml 기타: 해당 제조사에 문의하여 업그레이드 혹은 패치 정보에 대해 알아본다. 관련 URL CVE-2004-1097 (CVE) 관련 URL 11574 (SecurityFocus) 관련 URL 17934 (ISS)