English

◀◁ 뒤로 취약점ID 21194 위험도 30 포트 80, … 프로토콜 TCP 분류 CGI 상세설명 웹서버에 "ustorekeeper.pl" CGI가 설치되어 있다. uStorekeeper는 온라인 상점을 생성하고 작동시킬 수 있으며 관리까지 가능한 완전한 전자상거래 솔루션이다. Ustorekeeper.pl 스크립트에는 "command" 인수를 통하여 ustorekeeper.pl에 건네진 값에 대한 불충분한 체크로 인하여 웹서버상의 모든 디렉토리가 검색되어질 수 있는 취약점이 있다. Attacker는 "dot dot" 시퀀스(/../)를 포함하는 URL을 사용하여 원격으로 이미 인지하고 있는 시스템 상의 임의의 파일과 디렉토리들의 내용을 http 데몬의 권한(root 혹은 nobody)으로 볼 수 있다. * 참고 사이트: http://www.uburst.com/uStorekeeper/index.html http://www.securiteam.com/securitynews/5MP051P4AQ.html http://online.securityfocus.com/bid/2536 * 영향을 받는 플랫폼: Web Server 해결책 /cgi-bin 디렉토리에서 'ustorekeeper.pl' 파일을 삭제하여야 한다. 아니면 문제가 없는 최신 버전으로 업그레이드 하여야 한다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)