English

◀◁ 뒤로 취약점ID 210098 위험도 20 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Kayako SupportSuite 소프트웨어는 syncml/index.php 스크립트를 통한 정보 노출 취약점에 취약하다. Kayako SupportSuite는 PHP로 제작된 헬프 데스크(help desk) 지원 시스템이다. Kayako SupportSuite 버전 3.11.01을 포함한 여러 버전들은 원격지의 공격자가 민감한 정보를 얻어낼 수 있게 해 줄 수 있다. 'syncml/index.php' 스크립트로 직접적인 요청을 보냄으로써, 원격지의 공격자는 "$_SERVER[]" 배열의 내용들을 얻어낼 수 있다. 이 배열은 환경 변수의 값, 웹 root와 syncml/index.php 스크립트로의 완전한 경로명, 그리고 웹 서버 관리자의 e-mail 주소와 같은 정보를 포함하고 있다. * 참고 사이트: http://www.waraxe.us/advisory-63.html http://www.securityfocus.com/archive/1/486762/30/0/threaded http://secunia.com/advisories/28613 * 영향을 받는 플랫폼: Kayako SupportSuite 버전 3.11.01을 포함한 여러 버전들 모든 운영체제 모든 버전 해결책 2014년 6월 현재 업그레이드나 패치는 나와 있지 않다. 차선책으로 "syncml/index.php" 스크립트로의 액세스를 제한한다. (예를 들어, ".htaccess" 를 사용하여) 관련 URL CVE-2008-0395 (CVE) 관련 URL (SecurityFocus) 관련 URL 39861 (ISS)