English

◀◁ 뒤로 취약점ID 21245 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹서버에 설치된 phpBB는 SQL injection 취약점을 가지고 있다. phpBB는 게시판(bulletin board)을 위한 오픈 소스 소프트웨어 패키지로써 데이터베이스로는 MySQL, MS-SQL, PostgreSQL, Access/ODBC 등을 사용한다. 이 SQL injection 취약점은 phpBB에서 "viewtopic.php" 스크립트에 전달되는 사용자 제공 입력값을 부적절하게 처리함으로 인하여 발생한다. 원격지 공격자들은 SQL 쿼리가 포함된 topic_id 변수를 "viewtopic.php" 스크립트에 전달함으로써, phpBB가 사용하는 데이터베이스를 임의로 조작할 수 있다. 이 취약점을 이용하여, 사용자 MD5 패스워드 해쉬 값을 획득, 쿼리 로직을 변경 또는 데이터베이스를 손상시키는 공격이 가능하다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2003-06/0151.html * 영향을 받는 플랫폼: phpBB 2.0.4 phpBB 2.0.5 Linux 모든 버전 Unix 모든 버전 Windows 모든 버전 해결책 다음 사이트를 참조하여 phpBB 2.0.6 이상 버전으로 업그레이드 해야 한다. http://www.phpbb.com/ 관련 URL CVE-2003-0486 (CVE) 관련 URL 7979 (SecurityFocus) 관련 URL 12366 (ISS)