| Ãë¾àÁ¡ID |
21198 |
| À§Çèµµ |
30 |
| Æ÷Æ® |
80, ¡¦ |
| ÇÁ·ÎÅäÄÝ |
TCP |
| ºÐ·ù |
CGI |
| »ó¼¼¼³¸í |
À¥¼¹ö¿¡ "store.cgi" CGI°¡ ¼³Ä¡µÇ¾î ÀÖ´Ù. Thinking Arts »çÀÇ ÀüÀÚ»ó°Å·¡ ÆÐÅ°Áö(ES.One)¿¡´Â »ç¿ëÀÚµéÀÌ SQL µ¥ÀÌÅͺ£À̽º¸¦ ÅëÇÏ¿© À¥»çÀÌÆ® »ó¿¡¼ Á¦Ç°µéÀ» ÁÖ¹®ÇÒ ¼ö ÀÖµµ·Ï ÇØ ÁÖ´Â store.cgi ¶ó´Â ÇÁ·Î±×·¥À» Æ÷ÇÔÇÏ°í ÀÖ´Ù. ±× store.cgi ÇÁ·Î±×·¥¿¡´Â "StartID" Àμö¸¦ ÅëÇÏ¿© store.cgi¿¡ °Ç³×Áø °ª¿¡ ´ëÇÑ ºÒÃæºÐÇÑ Ã¼Å©·Î ÀÎÇÏ¿© À¥¼¹ö»óÀÇ ¸ðµç µð·ºÅ丮°¡ °Ë»öµÇ¾îÁú ¼ö ÀÖ´Â Ãë¾àÁ¡ÀÌ ÀÖ´Ù. Attacker´Â "dot dot" ½ÃÄö½º(/../)°¡ Æ÷ÇÔµÈ '%00.html'·Î ³¡³ª´Â URLÀ» »ç¿ëÇÏ¿© ¿ø°ÝÀ¸·Î ÀÌ¹Ì ÀÎÁöÇÏ°í ÀÖ´Â ½Ã½ºÅÛ »óÀÇ ÀÓÀÇÀÇ ÆÄÀÏ°ú µð·ºÅ丮µéÀÇ ³»¿ëÀ» http µ¥¸óÀÇ ±ÇÇÑ(root ȤÀº nobody)À¸·Î º¼ ¼ö ÀÖ´Ù.
* ¿µÇâÀ» ¹Þ´Â Ç÷§Æû:
Web Server |
| ÇØ°áÃ¥ |
2.2 ÀÌÀü ¹öÀüÀ» »ç¿ëÇÏ´Â °æ¿ì Thinking Arts¿¡ ¹®ÀÇÇÏ¿© ÆÐÄ¡¸¦ ¹Þ°Å³ª, ÇØ´ç CGI¸¦ »èÁ¦ÇÏ¿©¾ß ÇÑ´Ù. |
| °ü·Ã URL |
CVE-2001-0305 (CVE) |
| °ü·Ã URL |
2385 (SecurityFocus) |
| °ü·Ã URL |
6124 (ISS) |
|
