English

◀◁ 뒤로 취약점ID 21859 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 PhpGedView 프로그램은 3.3.7 이하의 버전들에 존재하는 다중의 취약점들에 취약하다. PhpGedView는 가계 또는 혈통 정보를 보여 주기 위해 무료로 사용할 수 있는 웹 기반의 프로그램이다. PhpGedView 버전 3.3.7과 그 이전의 버전들은 다음과 같은 다중의 취약점들에 취약하다: 1) "help_text_vars.php" 스크립트에 있는 "PGV_BASE_DIRECTORY" 인수로 전달된 입력은 파일들을 Include 하기 전에 적절하게 검증되지 않는다. 이는 외부 및 내부 자원들로부터 임의의 파일들을 Include 하는 데 도용될 수 있으며, 원격지의 공격자가 시스템 상에 임의의 파일들을 보거나 임의의 코드를 실행하게 해 줄 수 있다. 성공적으로 도용하기 위해서는 "register_globals" 설정이 사용 함으로 되어 있어야 한다. 2) "authenticate.php" 스크립트에서 저장되어 지기 전에 등록 시에 "user_language", "user_email", 그리고 "user_gedcomid" 인수들로 전달된 입력은 적절하게 필터링되지 않는다. 이는 임의의 PHP 코드를 주입하고 실행하는 데 도용될 수 있다. * 참고 사이트: https://sourceforge.net/tracker/index.php?func=detail&aid=1386434&group_id=55456&atid=477081 http://archives.neohapsis.com/archives/bugtraq/2005-12/0243.html http://secunia.com/advisories/18177/ * 영향을 받는 플랫폼: John Finlay, PhpGedView 버전 3.3.7과 그 이전의 버전들 모든 운영체제 모든 버전 해결책 PhpGedView의 웹 페이지인 http://phpgedview.sourceforge.net/ 에서 구할 수 있는 PhpGedView의 가장 최신 버전(3.3.8 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2005-4467,CVE-2005-4468,CVE-2005-4469 (CVE) 관련 URL 15983 (SecurityFocus) 관련 URL 23871,23873 (ISS)