취약점ID |
23037 |
위험도 |
40 |
포트 |
14002 |
프로토콜 |
TCP |
분류 |
TANNED |
상세설명 |
해당 Tanned 서버는 Format String 공격에 취약하다. Tanne는 제한없이 사용 가능한 공개 소스 기반의 세션 관리 패키지로 Unix와 Linux 운영체제에서 사용할 수 있다. 이 프로그램의 주요 목적은 웹 어플리케이션들의 프로그래머들이 쿠키나 세션-ID들이 없이 안전한 세션들을 가질 수 있게 해 주는 데에 있다. 프로그램적인 에러로 인해, Format String 취약점을 도용할 수가 있다. Tanne 프로그램에 있는 로깅 함수는 안전하지 못한 방법으로 syslog()를 호출한다. 이것은 공격자가 공급한 코드를 실행시켜 주는 결과를 초래한다.
* 참고 사이트: http://www.securityfocus.com/archive/1/305663 http://www.securityfocus.com/archive/1/305460 http://tanne.fluxnetz.de/
* 영향을 받는 플랫폼: Tanne 0.6.17 이하 |
해결책 |
다음 Tanne 다운로드 사이트를 참조하여 Tanned의 가장 최신 버전 (0.7.1 이상)으로 업그레이드 하여야 한다: http://tanne.fluxnetz.de/download/ |
관련 URL |
CVE-2003-1236 (CVE) |
관련 URL |
6553 (SecurityFocus) |
관련 URL |
11006 (ISS) |
|