English

◀◁ 뒤로 취약점ID 21709 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 MyBulletinBoard 소프트웨어는 다중의 스크립트들에 있는 다중의 SQL 주입 취약점들에 취약하다. MyBulletinBoard는 PHP와 MySQL로 제작된 무료로 사용 가능한 포럼 패키지이다. MyBulletinBoard는 1.00 RC1에서 1.00 RC4까지의 버전들은 'global.php' 스크립트의 'location' 변수, 'admin/index.php' 스크립트의 'username' 인수, 'search.php' 스크립트의 'action' 인수 그리고 'polls.php' 스크립트의 'polloptions' 인수로 건네진 사용자가 제공한 입력에 대한 부적절한 필터링으로 인해, 원격지의 공격자들로 하여금 임의의 SQL 명령을 실행 할 수 있게 한다. magic_quotes_gpc 옵션이 사용하지 않음으로 되어 있다면, 이 취약점들은 원격지의 공격자가 악의적인 데이터를 데이터베이스 질의로 전달하여 결과적으로 데이터 노출, 질의 로직에 대한 수정, 심지어 자체 데이터베이스에 대한 데이터 수정이나 공격을 할 수 있게 해 줄 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/fulldisclosure/2005-08/0397.html http://www.securityfocus.com/archive/1/407960 http://www.securityfocus.com/archive/1/408624 http://www.securityfocus.com/archive/1/409523 * 영향을 받는 플랫폼: MyBB Group, MyBulletinBoard 1.00 RC1에서 1.00 RC4까지의 버전들 모든 운영체제 모든 버전 해결책 다음 MyBB 사이트에서 최신버전의 MyBB로 업그레이드 해야한다. http://www.mybb.com/downloads 임시 조치방법으로, php.ini 파일의 "magic_quotes_gpc"를 "On"으로 설정한다. 관련 URL CVE-2005-2580,CVE-2005-2778 (CVE) 관련 URL 14553,14615,14684 (SecurityFocus) 관련 URL 21798 (ISS)