English

◀◁ 뒤로 취약점ID 21772 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Looking Glass는 target 인수를 통한 명령 실행 취약점에 취약하다. Looking Glass는 ping, traceroute, 그리고 whois와 같은 다양한 네트워크 유틸리티들로의 CGI 스크립트로 제작된 웹 인터페이스를 제공해 준다. Looking Glass 20040427 그리고 1.0 버전들은 다중의 취약점들에 취약하다. 이 취약점들은 원격지의 공격자에 의해 Cross-Site Scripting 공격 및 취약한 시스템에 임의의 명령을 수행하는 데 도용될 수 있다. 1) footer.php 그리고 header.php에 있는 "version" 배열 인수로 전달된 입력은 사용자들에게 반환되기 전에 적절하게 필터링되지 않는다. 이는 영향을 받는 사이트에서 사용자 브라우저 세션으로 임의의 HTML 및 스크립트 코드를 실행하는 데 도용될 수 있다. 2) lg.php에 있는 "target" 인수로 전달된 입력은 "system()" 호출에서 사용되어 지기 전에 적절하게 필터링되지 않는다. 이는 "|" 파이트 문자 등을 통해 임의의 쉘(shell) 명령들을 주입하는 데 도용될 수 있다. * 참고 사이트: http://archives.neohapsis.com/archives/bugtraq/2005-08/0381.html http://secunia.com/advisories/16607/ * 영향을 받는 플랫폼: Intermedia Communications (formerly Digex), Looking Glass 20040427 Intermedia Communications (formerly Digex), Looking Glass 1.0 모든 운영체제 모든 버전 해결책 2014년 6월 현재 업그레이드나 패치는 나와 있지 않다. 소스 코드를 편집하여 입력이 적절하게 필터링되도록 하여야 한다. 관련 URL CVE-2005-2776,CVE-2005-2777 (CVE) 관련 URL 14680,14682 (SecurityFocus) 관련 URL 22044,22045 (ISS)