English

◀◁ 뒤로 취약점ID 21668 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Jaws 소프트웨어는 원격 파일 포함 취약점에 취약하다. Jaws는 PHP로 제작된 동적 웹 사이트들을 구축하기 위한 프레임워크 및 콘텐트 관리 시스템이다. Jaws 버전 0.5.2를 포함한 이전 버전들은 'gadgets/Blog/BlogModel.php' 스크립트의 path 인수에 사용자가 제공한 입력을 적절하게 검증하지 못함으로 인하여 디렉토리 탐색 취약점에 취약하다. 만약 register_globals이 사용함으로 되어 있다면 원격지의 공격자는 'gadgets/Blog/BlogModel.php' 스크립트의 path 인수에 "/../" (dot dot) 시퀀스들을 포함하는 잘 조작된 URL 요청을 보내 웹 root 디렉토리 외부에 위치한 임의의 파일들을 읽어 갈 수 있다. * 참고 사이트: http://www.hardened-php.net/advisory-072005.php http://marc.theaimsgroup.com/?l=bugtraq&m=112067013827970&w=2 * 영향을 받는 플랫폼: Jaws 버전 0.5.2를 포함한 이전 버전들 모든 운영체제 모든 버전 해결책 Jaws 웹 사이트인 http://www.jaws.com 에서 구할 수 있는 Jaws의 가장 최신 버전(0.5.3 혹은 이후)으로 업그레이드 하여야 한다. 임시 조치방법으로는 register_globals를 사용중지 시킨다. 관련 URL CVE-2005-2179 (CVE) 관련 URL 14158 (SecurityFocus) 관련 URL 21247 (ISS)