English

◀◁ 뒤로 취약점ID 21947 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 PatchLink Update Server (PLUS)는 nwupload.asp 스크립트를 통한 디렉토리 탐색 취약점에 취약하다. PatchLink Update Server (PLUS)와 ZENworks Patch Management는 중,대규모의 기업 네트워크를 위한 패치와 취약점 관리 솔루션 제품이다. PatchLink Update Server (PLUS) 6.1 P1 이전 버전들 또는 6.2 SR1 P1 이전 버전들과 ZENworks Patch Management 6.2 SR1 이전 버전들은 '/dagent/nwupload.asp' 스크립트의 'action', 'agentid', 그리고 'index' 인수들로 전달된 사용자 제공 입력값에 대한 부적절한 필터링으로 인하여 원격지 공격자가 디렉토리를 탐색할 수 있게 해 줄 수 있다. 원격지 공격자는 이 취약점을 도용하여 영향을 받는 호스트 상에서 어플리케이션에 의해 요구된 디렉토리를 삭제하고 파일에 임의의 내용을 기록할 수 있다. * 참고 사이트: http://secunia.com/advisories/20878 http://secunia.com/advisories/20876 http://www.securityfocus.com/archive/1/438710/30/0/threaded http://support.novell.com/cgi-bin/search/searchtid.cgi?10100709.htm * 영향을 받는 플랫폼: PatchLink 사, PatchLink Update 6.1 P1 이전 버전들 PatchLink 사, PatchLink Update 6.2 SR1 P1 이전 버전들 Novell, ZENworks Patch Management 6.2 SR1 이전 버전들 Microsoft Windows Any version 해결책 PatchLink Update Server를 사용하고 있다면 PatchLink 웹 사이트인 http://www.lumension.com 에서 PatchLink Update Server의 가장 최신 버전 (6.1 P1 혹은 6.2 SR1 P1 혹은 이후)을 구하여 업그레이드 하여야 한다. -- 혹은 -- Novell ZENworks Patch Management를 사용하고 있다면 ZENworks Patch Management 다운로드 웹 사이트인 http://www.patchlink.com/downloads/support/helpdesk/3808/NOVELL/HotfixInstaller.msi 에서 Novell ZENworks Patch Management의 가장 최신 버전 (6.2 SR1 혹은 이후)을 구하여 업그레이드 하여야 한다. 관련 URL CVE-2006-3426 (CVE) 관련 URL 18732 (SecurityFocus) 관련 URL (ISS)