English

◀◁ 뒤로 취약점ID 21338 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 웹 서버에 설치된 SquirrelMail 패키지 1.4.3 이전 버전은 다수의 취약점을 포함하고 있다. SquirrelMail은 PHP로 제작된 웹 메일 시스템 패키지이다. SquirrelMail 패키지 1.4.3 이전 버전들에는 다음과 같은 다수의 취약점들이 존재한다. - Folder Name Cross-Site Scripting 취약점 (CVE-2004-0519) - Email Header HTML Injection 취약점 (CVE-2004-0520) - SQL Injection 취약점 (CVE-2004-0521) 이들 취약점들은 애플리케이션이 사용자 입력 데이터에 대한 적절한 필터링을 하지 못하는 데 그 원인이 있다. 원격지 공격자들은 후위 데이터베이스 상의 사용자 데이터를 추가/삭제/변경하거나 또는 세션 쿠키(cookie)정보를 가로채기 위해 취약점들을 도용할 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 SquirrelMail의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.osvdb.org/show/osvdb/8292 http://marc.theaimsgroup.com/?l=bugtraq&m=108334862800260 http://marc.theaimsgroup.com/?l=bugtraq&m=108611554415078&w=2 http://www.rs-labs.com/adv/RS-Labs-Advisory-2004-1.txt http://marc.theaimsgroup.com/?l=squirrelmail-cvs&m=108532891231712 http://marc.theaimsgroup.com/?l=squirrelmail-cvs&m=108309375029888 * 영향을 받는 플랫폼: SquirrelMail Project Team, SquirrelMail 1.4.3 이전 버전들 SquirrelMail Project Team, SquirrelMail 1.5.0, 1.5.1 개발 버전 Unix Any version Linux Any version 해결책 SquirrelMail의 다운로드 웹 사이트인 http://www.squirrelmail.org/download.php 에서 SquirrelMail의 가장 최신 버전(1.4.3 혹은 이후)을 구하여 업그레이드 하여야 한다. 관련 URL CVE-2004-0519,CVE-2004-0520,CVE-2004-0521 (CVE) 관련 URL 10246,10397,10439 (SecurityFocus) 관련 URL 16025,16285,16235 (ISS)