보안솔루션, 보안컨설팅의 최강자! 종합보안회사 시큐아이

취약점ID	21070
위험도	40
포트	80, ...
프로토콜	TCP
분류	CGI
상세설명	phf CGI는 구버전의 NCSA나 Apache 서버에 포함된 phone book 샘플 프로그램으로 외부에서 브라우저를 통해 쉘이 인식할 수 있는 임의의 명령을 실행할 수 있다. escape_shell_cmd()은 CGI 프로그램에 의해 발생된 쉘(shell)이 추가의 명령을 가지고 명령어를 실행할 수 있게 하는 제어 문자(control characters)을 필터링하여 shell-based 함수(popen(), system())를 호출한다. 이 때 어떤 문자는 필터링에 실패하여 사용자가 입력한 명령어를 root권한으로 실행시켜 준다. * 영향을 받는 플랫폼: Web Server
해결책	즉시 /cgi-bin 디렉토리내에 있는 phf 파일을 삭제한다.
관련 URL	CVE-1999-0067 (CVE)
관련 URL	629 (SecurityFocus)
관련 URL	148 (ISS)