English

◀◁ 뒤로 취약점ID 21159 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 웹서버에 "/technote/main.cgi" CGI가 설치되어 있다. TECH-NOTE는 웹 사이트를 위한 한국어 게시판용 소프트웨어 이다. TECH-NOTE 2000에는 main.cgi 스크립트에 취약점이 있어 Attacker가 원격으로 웹서버 상에 있는 디렉토리들을 뒤질 수 있도록 해 준다. main.cgi 스크립트는 open() 함수를 호출할 때 보안상 문제를 일으킬 수 있는 사용자 입력 문자열을 걸러내지 못한다. Attacker는 "dot dot" 시퀀스(/../)를 포함한 URL을 사용하여 웹서버 상의 임의의 디렉토리나 파일들을 http 데몬의 권한(root 혹은 nobody)으로 읽어낼 수 있다. TECH-NOTE 2001도 같은 취약점이 존재한다. * 영향을 받는 플랫폼: Web Server 해결책 2014년 6월 현재 문제를 해결할 수 있는 방법은 나와 있지 않다. 다음 사이트에서 최신 버전의 Technote에서 구할 수 있다. Http://www.technote.co.kr/php/technote1/board.php?board=consult&command=skin_insert&exe=insert_down_shop 관련 URL CVE-2001-0075 (CVE) 관련 URL 2156 (SecurityFocus) 관련 URL 5813 (ISS)