English

◀◁ 뒤로 취약점ID 21024 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹서버에 bnbform.cgi CGI 프로그램이 설치되어 있다. BNBForm은 BigNoseBird에 의해 프로그래밍된 form processing script이다. BNBForm은 사람들의 form 전송(submission)들에 대해 자동으로 응답 메일을 보내주는 기능을 한다. 그러나, 이 CGI를 이용하면 외부에서 서버내 파일시스템에 있는 임의의 파일을 가져갈 수 있다. 이 CGI에서 POST 방식의 메세지 전송시 Hidden Type중 "automessage" 이름에 대한 Value로 원하는 파일명을 줄 때 결과적으로 CGI는 웹서버의 UID 권한으로 서버에 있는 해당 파일을 읽어 Email을 통해 파일을 보내주게 된다. ※ 이 CGI에 대한 원 소스코드는http://bignosebird.com/carchive/bnbform.shtml 에서 얻을 수 있다. * 영향을 받는 플랫폼: bnbform.cgi CGI 해결책 서버의 /cgi-bin 디렉토리로 부터 삭제해야 한다. 이 스크립트가 반드시 필요하다면 문제가 없는 최신 버전을 구하여 설치하여야 한다. 관련 URL CVE-1999-0937 (CVE) 관련 URL 2147 (SecurityFocus) 관련 URL 3093 (ISS)