English

◀◁ 뒤로 취약점ID 21171 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 몇몇 Linux 배포들에 있는 ht://dig 프로그램은 htsearch CGI에 있는 취약점으로 인해 원격지의 공격자들에게 임의의 파일을 검색할 수 있도록 해 준다. ht://dig 프로그램은 무료배포 및 공개소스 기반의 웹검색 엔진 및 인덱싱 소프트웨어이다. htsearch CGI에 있는 취약점은 다음과 같이 사용될 수 있다: (1) /dev/zero와 같은 특수 파일을 명시함으로써 서비스거부 (CPU 고갈)을 일으킨다. (2) 특정 파일을 명시한 어떤 설정파일을 업로드 함으로써 임의의 파일들을 읽을 수 있다. 이것은 웹 인터페이스로부터 명령행 라인 인수들을 사용가능하다는 사실에 기인한다. 특히, -c [파일명] 인수는 특정 설정파일을 명시하는데 사용된다. * 영향을 미치는 플랫폼: ht://Dig 3.1.0b2 이상, 3.1.5와 3.2.0b3 까지의 버전들 * 참고 사이트: http://www.securityfocus.com/bid/3410 http://www.iss.net/security_center/static/7263.php 해결책 다음 HT://Dig 웹사이트로부터 차기 릴리즈 버전인 3.1.6 이나 3.2.0b4 혹은 신규 버전을 구하여 업그레이드하여야 한다: http://www.htdig.org/files/snapshots/ -- 혹은 -- 다음 사이트로부터 시스템에 적절한 패치나 업그레이드를 다운로드받아 설치하여야 한다: http://online.securityfocus.com/bid/3410/solution/ 관련 URL CVE-2001-0834 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)