| Ãë¾àÁ¡ID |
21169 |
| À§Çèµµ |
30 |
| Æ÷Æ® |
80, ¡¦ |
| ÇÁ·ÎÅäÄÝ |
TCP |
| ºÐ·ù |
CGI |
| »ó¼¼¼³¸í |
À¥¼¹ö¿¡ "auktion.cgi" CGI°¡ ¼³Ä¡µÇ¾î ÀÖ´Ù. HIS AuktionÀº ¿Â¶óÀÎ °æ¸Å¸¦ È£½ºÆÃÇÏ°í °ü¸®Çϱâ À§ÇÑ CGI ½ºÅ©¸³Æ®ÀÌ´Ù.
HIS Auktion ¹öÀü 1.62¿¡´Â "menue" Àμö¸¦ ÅëÇÏ¿© auktion.cgi¿¡ °Ç³×Áø °ª¿¡ ´ëÇÑ ºÒÃæºÐÇÑ Ã¼Å©·Î ÀÎÇÏ¿© À¥¼¹ö»óÀÇ ¸ðµç µð·ºÅ丮°¡ °Ë»öµÇ¾îÁú ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ ÀÖ´Ù. Attacker´Â "dot dot" ½ÃÄö½º(/../)¸¦ Æ÷ÇÔÇÏ´Â URLÀ» »ç¿ëÇÏ¿© ¿ø°ÝÀ¸·Î ÀÌ¹Ì ÀÎÁöÇÏ°í ÀÖ´Â ½Ã½ºÅÛ »óÀÇ ÀÓÀÇÀÇ ÆÄÀÏ°ú µð·ºÅ丮µéÀÇ ³»¿ëÀ» http µ¥¸óÀÇ ±ÇÇÑ(root ȤÀº nobody)À¸·Î º¼ ¼ö ÀÖ´Ù.
* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
Web Server |
| ÇØ°áÃ¥ |
2014³â 6¿ù ÇöÀç ¹®Á¦¿¡ ´ëÇÑ ÇØ°á ¹æ¹ýÀº ³ª¿ÍÀÖÁö ¾Ê´Ù. ÇØ´ç CGI¸¦ »èÁ¦ÇÏ¿©¾ß ÇÑ´Ù. |
| °ü·Ã URL |
CVE-2001-0212 (CVE) |
| °ü·Ã URL |
2367 (SecurityFocus) |
| °ü·Ã URL |
6090 (ISS) |
|
