English

◀◁ 뒤로 취약점ID 21793 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 FlatNuke 프로그램은 read 모듈의 id 인수를 통한 디렉토리 탐색 취약점에 취약하다. FlatNuke는 데이터베이스 대신에 일반 텍스트에만 의존하는 PHP로 제작된 CMS(Content Management System)이다. FlatNuke 2.5.6을 포함한 다른 여러 버전들은 'index.php' 스크립트의 'id' 인수로 전달된 사용자 제공 입력에 대한 부적절한 검증으로 인하여 원격지의 공격자가 웹 root의 외부에 있는 디렉토리들을 탐색하고 파일들을 볼 수 있게 해 줄 수 있다. "dot dot" 시퀀스들(../)과 null 바이트(%00)를 포함한 잘 조작된 URL을 보냄으로써, 원격지의 공격자는 웹 서비스의 권한을 가지고 웹 root 디렉토리의 외부에 있는 임의의 파일들을 읽어 낼 수 있다. * 참고 사이트: http://www.securityfocus.com/archive/1/archive/1/419107/100/0/threaded http://securitytracker.com/alerts/2005/Dec/1015339.html * 영향을 받는 플랫폼: FlatNuke SourceForge Project, FlatNuke 2.5.6을 포함한 다른 여러 버전들 모든 운영체제 모든 버전 해결책 SourceForge.net 웹 사이트인 http://prdownloads.sourceforge.net/flatnuke/ 에서 최신버전의 FlatNuke(2.5.7 혹은 이후)을 구하여 업그레이드 하여야 한다. 임시 조치방법으로 PHP의 'magic_quotes_gpc' 설정을 사용 함으로 전환한다. 관련 URL CVE-2005-4208 (CVE) 관련 URL 15796 (SecurityFocus) 관련 URL (ISS)