English

◀◁ 뒤로 취약점ID 210002 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Moodle 소프트웨어는 'blog/index.php' 스크립트에 있는 'tag' 인수를 통한 SQL Injection 취약점에 취약하다. Moodle은 Microsoft Windows, Unix, Linux 계열 플랫폼을 위한 PHP 기반 오픈 소스 코스 관리 시스템(CMS: Course Management System) 이다. Moodle 버전 1.6.2와 버전 1.18.2.2는 'blog/index.php' 스크립트의 'tag' 인수로 전달된 사용자가 제공한 입력에 대한 부적절한 필터링으로 인해, 원격지의 공격자들로 하여금 임의의 SQL 명령을 실행 할 수 있게 해 준다. 이 취약점은 원격지의 공격자가 악의적인 데이터를 데이터베이스 질의로 전달하여 결과적으로 데이터 노출, 질의 로직에 대한 수정, 심지어 자체 데이터베이스에 대한 데이터 수정이나 공격을 할 수 있게 해 줄 수 있다. * 참고 사이트: http://www.securityfocus.com/archive/1/448018 http://www.securityfocus.com/archive/1/448023 http://lists.grok.org.uk/pipermail/full-disclosure/2006-October/049923.html http://archives.neohapsis.com/archives/fulldisclosure/2006-10/0130.html * 영향을 받는 플랫폼: Martin Dougiamas, Moodle 버전 1.6.2와 버전 1.18.2.2 모든 운영체제 모든 버전 해결책 Moodle 웹 사이트인 http://www.moodle.org 에서 구할 수 있는 가장 최신의 Moodle 버전(1.18.2.3 혹은 이후)을 구하여 업그레이드 하여야 한다. 관련 URL CVE-2006-5219 (CVE) 관련 URL 20395 (SecurityFocus) 관련 URL 29377 (ISS)