English

◀◁ 뒤로 취약점ID 21009 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 서버에 "/adsamples/config/site.csc"파일이 설치되어 있는 것으로 보아 MS Site Server의 Ad Server가 설치되어 있는 것으로 나타난다. 이 파일은 AdSamples 디렉토리에 설치되어 있는데 유출될 경우 SQL 데이타베이스의 ID와 패스워드를 포함하고 있어 위험하다. AdSamples(Ad Server 구성요소의 샘플) 디렉토리가 설치되었다면 디렉토리 퍼미션의 제한없이 외부 사용자가 SQL 데이타베이스에 가지고 있는 민감한 정보를 포함하는 Site 설정파일(SITE.CSC)를 가져갈 수 있다. 이 정보는 DSN을 포함하여 SQL서버 데이타베이스를 액세스하기 위해 Ad 서버에 의해 사용되는 사용자명과 패스워드을 포함하고 있다. * 영향을 받는 플랫폼: Microsoft IIS Server 해결책 Web site의 DEFAULT root로 부터 "AdSamples" 가상 디렉토리를 제거하거나, 혹은 이 폴더에 대해 충분한 접근제한을 하도록 파일 퍼미션을 변경하여야 한다. 만약 어떤 이유로 이 가상 디렉토리에 대해 접근제한을 풀어놔야 한다면 적어도 SITE.CSC 파일에 대한 보안 퍼미션이라도 볼 수 없도록 적용해야 한다. 또한 설치시 SITE.CSC 파일이 한두개가 아니라는 것도 명심하고 이들 모두에 대해 보안사항을 적용해야 한다는 것도 알아야 한다. 관련 URL CVE-1999-1520 (CVE) 관련 URL 256 (SecurityFocus) 관련 URL 2270 (ISS)