English

◀◁ 뒤로 취약점ID 21594 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 bBlog의 버전 정보에 따르면 해당 소프트웨어에는 rss.php 스크립트에 SQL 주입 공격 취약점이 존재한다. bBlog는 PHP로 작성된 블로그(blog) 시스템이다. bBlog 0.73 이하 버전들은 rss.php 스크립트의 'p' 배열 인수로 건네진 사용자가 제공한 입력에 대한 부적절한 필터링으로 인해 원격지의 공격자가 임의의 SQL 명령들을 실행할 수 있게 해 줄 수 있다. 이 취약점은 원격지의 공격자가 악의적인 데이터를 데이터베이스 질의로 전달하여 결과적으로 데이터 노출, 질의 로직에 대한 수정, 심지어 자체 데이터베이스에 대한 데이터 수정이나 공격을 할 수 있게 해 줄 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버 상에 설치된 bBlog 소프트웨어의 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2004-09/0461.html http://secunia.com/advisories/12691/ * 영향을 받는 플랫폼: Eaden McKee, bBlog 0.73 이하의 버전들 모든 운영체제 모든 버전 해결책 다음 사이트를 참고하여 bBlog의 가장 최신 버전(0.74 이후)을 구하여 업그레이드 하여야 한다. http://sourceforge.net/projects/bblog.berlios/?source=directory 관련 URL CVE-2004-1570 (CVE) 관련 URL 11303 (SecurityFocus) 관련 URL 17552 (ISS)