English

◀◁ 뒤로 취약점ID 21945 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 TWiki 소프트웨어는 bin/configure 스크립트에 있는 원격 명령 실행 취약점에 취약하다. TWiki는 Perl로 제작되어 프로젝트 개발 공간, 문서 관리 시스템, 그리고 지식 베이스를 수행하기 위해 고안된 웹 기반의 협업 플랫폼이다. TWiki 4.0.0에서 4.0.4 까지의 버전들은 bin/configure 스크립트의 'TYPEOF' 인수로 전달된 사용자가 제공한 입력에 대한 부적절한 필터링으로 인하여, 원격지의 공격자가 임의의 Perl 코드를 실행시킬 수 있게 해 줄 수 있다. 원격지의 공격자는 'TYPEOF' 인수에 쉘(shell) 특수문자들을 포함하는 bin/configure 스크립트로의 잘 조작된 URL 요청을 보내 웹 서버의 권한으로 임의의 시스템 명령들을 실행시킬 수 있다. * 참고 사이트: http://twiki.org/cgi-bin/view/Codev/SecurityAlertCmdExecWithConfigure * 영향을 받는 플랫폼: TWiki.org, TWiki 4.0.0 TWiki.org, TWiki 4.0.1 TWiki.org, Twiki 4.0.2 TWiki.org, Twiki 4.0.3 TWiki.org, Twiki 4.0.4 모든 운영체제 모든 버전 해결책 다음 Twiki Security Alert를 참조하여 버전 4.0.4를 위한 Hotfix 2 혹은 이후를 적용하여야 한다: http://twiki.org/cgi-bin/view/Codev/SecurityAlertCmdExecWithConfigure 임시 조치방법으로는 TWiki configure 스크립트에 대한 액세스를 제한하여야 한다. 관련 URL CVE-2006-3819 (CVE) 관련 URL 19188 (SecurityFocus) 관련 URL 28049 (ISS)