English

◀◁ 뒤로 취약점ID 22323 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 호스트에는 1.3.7 혹은 이전의 lighttpd 웹 서버의 버전이 가동 되고 있다. lighttpd는 외부 프로그램들에 대한 인터페이스를 제공해 주고 웹 어플리케이션이 개별적으로 chroot를 실행하도록 해 주는 웹 서버이다. lighttpd 1.3.7 이하의 버전들은 buffer_urldecode 함수에 있는 제어 문자들에 대한 부적절한 처리로 인하여 정보 노출 취약점에 취약하다. 파일 확장자 끝에 %00 (null) 문자를 덧붙인 잘 조작된 URL 요청을 보냄으로써, 원격지의 공격자는 요청된 파일의 소스 코드를 읽을 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 HTTP 서버의 배너 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://article.gmane.org/gmane.comp.web.lighttpd/1171 http://secunia.com/advisories/14297/ * 영향을 받는 플랫폼: lighttpd 1.3.7 이하 버전들 Unix Any version Linux Any version 해결책 lighttpd 웹 사이트인 http://lighttpd.net/download/ 에서 lighttpd의 가장 최신 버전(1.3.10 혹은 이후)을 구하여 업그레이드 하여야 한다. Gentoo Linux의 경우 다음 Gentoo Linux Security Advisory GLSA 200502-21을 참조하여 lighttpd의 가장 최신 버전 (1.3.10-r1 혹은 이후)으로 업그레이드 하여야 한다: http://www.gentoo.org/security/en/glsa/glsa-200502-21.xml 기타: 해당 제조업체에 문의하여 업그레이드나 패치 정보에 대해 알아본다. 관련 URL CVE-2005-0453 (CVE) 관련 URL 12567 (SecurityFocus) 관련 URL 19350 (ISS)